我按照此示例 (https://github.com/microsoftgraph/aspnetcore-connect-sample( 获取我的 .net core mvc 应用,以使用 azure AD 连接到图形,并获取用户图片和作业详细信息。
它让我使用一个租户登录,并获得所需的一切,但是当我尝试使用另一个租户/域登录时,AcquireTokenByAuthorizationCode返回错误。 在调试中运行时,看起来当我第一次使用第一封电子邮件登录时,它使用了正确的OpenIdConnectOption Authority(https://login.microsoftonline.com/common/v2.0(。 然后,当我尝试使用另一个域登录时,颁发 URL 已更改为 https://login.microsoftonline.com/{tenantid_of_first_logger}/v2.0,因此返回错误。
我遵循的代码与示例中的代码完全相同,只是使用我自己的 azure AD 和应用注册。 基本上我无法让多租户继续下去。 有没有人尝试过将此示例作为多租户运行并成功运行?我是否与我在 Azure AD 中的应用注册有关(再次按照示例中的步骤进行设置。
通用的 OIDC 权威是正确的。用户输入其电子邮件后,将使用正确的租户(主领域发现(。另一方面,代币获取必须始终来自特定的租户,而不是"公共"。
您关于"使用另一个域登录"的说法有点令人困惑。你是说代币获取调用吗?无论如何,错误消息对于确定特定原因至关重要。
https://learn.microsoft.com/en-us/azure/active-directory/develop/reference-aadsts-error-codes
使用此示例了解 Azure AD 中的多租户方案
若要更深入地了解,请浏览多租户示例。