图形 API 访问被拒绝错误

Question

我们一直在使用 Graph API 的日历端点来读取我们组织中所有会议室的当前日历事件（根据我们的应用程序的需要）。

我们的 AAD 应用程序具有基于证书的委托访问所需的权限设置。

AAD 权限设置

我们能够读取事件，但从上周五开始，我们注意到当我们尝试访问端点时，所有调用都失败并显示拒绝访问错误消息。

委派权限设置

示例错误：

"{\r\n  \"error\": {\r\n    \"code\": \"ErrorAccessDenied\",\r\n    \"message\": \"Access is denied. Check credentials and try again.\",\r\n    \"innerError\": {\r\n      \"request-id\": \"4e86b67f-c790-4622-8c52-5560ada18809\",\r\n      \"date\": \"2017-12-20T00:59:42\"\r\n    }\r\n  }\r\n}"
"{\r\n  \"error\": {\r\n    \"code\": \"ErrorAccessDenied\",\r\n    \"message\": \"Access is denied. Check credentials and try again.\",\r\n    \"innerError\": {\r\n      \"request-id\": \"43986eec-2b2a-4e0c-b2e6-d5cacfd9e583\",\r\n      \"date\": \"2017-12-20T01:15:04\"\r\n    }\r\n  }\r\n}"

附加信息： 令牌负载数据：

{
  "aud": "https://graph.microsoft.com/",
  "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
  "iat": 1513731142,
  "nbf": 1513731142,
  "exp": 1513735042,
  "aio": "<removed>",
  "app_displayname": "<removed>",
  "appid": "17e23349-efa0-4b31-b04f-c8e16754bcb8",
  "appidacr": "2",
  "e_exp": 262800,
  "idp": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
  "oid": "028bc190-3171-4699-90ad-65a0b6cc9d21",
  "sub": "028bc190-3171-4699-90ad-65a0b6cc9d21",
  "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47",
  "uti": "nTP0r5PyPUqQoNS3WmUKAA",
  "ver": "1.0"
}

我确实注意到令牌有效负载缺少任何范围，但鉴于它之前工作并且没有对我们的 AAD 实例进行任何已知更改，我怀疑这是否是真正的问题，但如果我在那里遗漏了什么，请告诉我。

我尝试将 AAD 应用程序切换到另一个也具有管理员同意权限设置的应用程序，但结果与上述相同。

Answer 1

由于令牌中没有范围/角色，问题可能是权限没有被授予。

您可以通过单击此处的“授予权限”按钮授予租户中的权限。

您还可以在我的博客中找到有关赠款如何工作以及如何调试此类问题的一些信息：https://joonasw.net/view/the-grant-requires-admin-permission