Блог

Я пытаюсь запросить Directory.Read.All область с помощью библиотеки MSAL Microsoft и получить действительную пару токенов доступа / обновления с acquire_token_by_authorization_code помощью функции.

Я прошу администратора организации дать согласие на вышеуказанное разрешение приложения с /adminconsent конечной точкой (и подтвердил, что разрешения были предоставлены — см. Скриншот ниже). Однако при попытке получить токен доступа с Directory.Read.All областью действия я получаю следующую ошибку:

 {'error': 'invalid_grant', 'error_description': "AADSTS65001: The user or administrator has not consented to use the application with ID 'XXX' named 'XXX'. Send an interactive authorization request for this user and resource [...]'suberror': 'consent_required'}
  

Не совсем уверен, как это может быть — поскольку разрешение явно предоставлено. Я попытался сбросить кэш токенов, удалив все учетные записи MSAL, но сомневаюсь, что это корень проблемы, поскольку фактический сбой — это преобразование кода авторизации в токен доступа.

Спасибо за любую помощь!

Я могу воспроизвести вашу ошибку:

Если вы используете поток кода авторизации для получения токена доступа, вам следует предоставить делегированные разрешения, поскольку это поток авторизации с взаимодействием с пользователем, поэтому попробуйте предоставить Directory.Read .Все delegated permissions , а затем предоставьте согласие администратора на разрешения.