#azure #azure-active-directory #power-automate
#azure #azure-active-directory #power-автоматизация
Вопрос:
Мы создаем поток для добавления гостевого пользователя в Azure AD.
Справочная статья https://www.timlinenterprises.com/how-to-invite-external-users-using-microsoft-flow-and-microsoft-graph-api/
Выполнил шаги, описанные в статье, и получил ошибку, как показано ниже, при выполнении потока
Недостаточно привилегий для выполнения запрошенной операции приложением ‘00000003-0000-0000-c000-000000000000’. controllerName=MSGraphInviteAPI, ActionName=CreateInvite, абсолютный путь URL=/api/a65449db-d753-4811-b4e1-846b9be25a50/приглашает
Ниже приведен скриншот HTTP-запроса из Flow
Ниже приведен скриншот разрешений API для Azure
Как только я заменю.onmicrosoft.com с идентификатором клиента поток выполняется без каких-либо проблем, и гостевой пользователь получает приглашение. Пользователь добавляется в Azure AD, однако его профили не отображаются ни у гостевых пользователей Office 365, ни в профиле пользователя SharePoint даже после ожидания в течение 24 часов.
Всякий раз, когда я приглашаю гостевого пользователя с помощью graph Explorer, гость успешно добавляется в Azure, Office 365 и SharePoint
Выполнение графических приглашений
Это глобальная учетная запись администратора со всеми привилегиями и назначенной лицензией E3.
Во всех статьях в Интернете показано, как добавлять гостей в Azure AD, однако нет информации о том, появится ли пользователь в списке гостей Office 365.
Пожалуйста, дайте мне знать, если кто-нибудь знает об этом и может помочь мне предпринять шаги для решения этой проблемы, а также дайте мне знать, если с моей стороны потребуются какие-либо другие подробности.
Редактировать
- Возникла небольшая путаница, я перепутал идентификатор клиента с идентификатором клиента, после ввода идентификатора клиента поток работает без каких-либо проблем, как показано ниже
введите описание изображения здесь
- Как только я войду.onmicrosoft.com в разделе » Клиент » поток завершается с ошибкой
- У нас есть только 1 клиент, в котором создается приложение Azure
Пожалуйста, дайте мне знать, если нужно проверить что-нибудь еще
Заранее спасибо.
Ответ №1:
Как только я заменю.onmicrosoft.com с идентификатором клиента поток выполняется без каких — либо проблем
Это невозможно. Здесь можно указать только идентификатор клиента или имя домена. «идентификатор клиента» не работает.
В вашем случае a65449db-d753-4811-b4e1-846b9be25a50 должен быть идентификатор клиента, в который вы пытаетесь пригласить гостя.
Поскольку разрешения приложения User.Invite.All и Directory.ReadWrite.All указаны правильно, причина возникновения этой проблемы, вероятно, заключается в том, что вы указали здесь неправильное имя клиента. Зарегистрированное вами приложение Azure AD отсутствует в этом клиенте a65449db-d753-4811-b4e1-846b9be25a50 . Пожалуйста, проверьте.
Комментарии:
1. спасибо за ответ, я перепутал идентификатор клиента с идентификатором клиента . Я отредактировал свой пост с помощью шагов, которые вы просили проверить [Пожалуйста, проверьте раздел редактирования]. Пожалуйста, подскажите, есть ли что-нибудь еще, что нужно проверить
2. @Vivek Хотя разрешения выглядят хорошо, на основе сообщения об ошибке это означает, что токен доступа не имеет достаточного разрешения. Не могли бы вы использовать postman для создания токена доступа с потоком учетных данных клиента и декодирования его в jwt.io чтобы посмотреть, какое разрешение у него есть?
3. @Vivek И убедитесь, что
User.Invite.Allразрешение приложения указано в правильном приложении Azure AD. Проверьте идентификатор клиента, пожалуйста.4. , Спасибо за ответ. На самом деле я новичок в этом, поэтому не уверен, полностью ли я понимаю инструкции, не могли бы вы поделиться статьей или подробно описать шаги здесь, чтобы я выполнил все шаги, ничего не пропустив
5. Я добавил пользователя. Приглашение. Все разрешения приложения для правильного приложения Azure AD (скриншот в сообщении)