Azure AD-Authentifizierung fehlgeschlagen, wenn MS Live-Konten anders als mein AAD-Konto verwendet werden

Question

Ich versuche, Benutzerdaten von ihrem Microsoft Live-Konto zu lesen. Ich habe, wie unten geschrieben Code:

public void GetUserData(){ 
     var authContext = new AuthenticationContext("https://login.microsoftonline.com/common/"); 
     var result = _authenticationContext 
       .AcquireTokenAsync("https://graph.microsoft.com", "<my client/app ID>", "<redirect URI>", new PlatformParameters(PromptBehavior.RefreshSession)) 
       .Result;  
     var accessToken = result.AccessToken; 

     var httpClient = new HttpClient(); 
     httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer",accessToken); 
     var userResponse = httpClient.GetStringAsync("https://graph.microsoft.com/beta/me/").Result; 

     //DO SOMTHING WITH DATA 
    } 

mein Code funktioniert gut, wenn ich meine AAD-Anmeldeinformationen verwendet, aber wenn ich mein persönliches Konto verwendet wird, werden folgende Fehler geben.

AADSTS50020: Benutzerkonto ‚XXXX@outlook.com‘ von Identitätsanbieter ‚live.com‘ existiert nicht in Mieter Standardverzeichnis 'und kann nicht Zugriff auf die Anwendung ‚XXXXXXXXXXXXXXXXX‘ in diesen Mietern. Das Konto muss zuerst als externer Benutzer in den Mandanten hinzugefügt werden. Melden Sie sich ab und erneut mit einem anderen Active Directory-Benutzerkonto Azure Active an. Hier

ist der Screenshot:

Es ist ähnlich wie this question. Könnte mir jemand helfen?

Answer 1

v1 Endpunkte erfordern, dass der Benutzer ein Mitglied in einem Verzeichnis ist.

Sie wahrscheinlich die v2.0 Endpunkte für diese verwenden sollten: https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-appmodel-v2-overview

Wenn Sie Konten erwarten nur Verbraucher MS anmelden, können Sie die authorise URL angeben, wie:

https://login.microsoftonline.com/consumers/oauth2/v2.0/authorize 

Answer 2

Zuerst müssen Sie für die Fehlerbehandlung in Ihrer Frage zuerst das Live-Konto in Ihr Verzeichnis einfügen und dann versuchen, den Azure AD v2-Endpunkt zur Authentifizierung zu verwenden. Sie können die App nicht mit dem externen Konto anmelden, das sich nicht in diesem Verzeichnis befand.

Ich nehme an, dass Sie möchten, dass Microsoft Live-Konto Ihre App verwenden kann.

Basierend auf dieser Anforderung, schlage ich vor, Sie können Azure AD B2C verwenden, um dies zu erreichen. Mit Azure AD B2C können Sie Ihre Anwendung mit jedem Microsoft-Konto authentifizieren. Sie können Microsoft Account als Anbieter sozialer Identität hinzufügen. So können sich alle Live-Accounts anmelden und Ihre App über Azure AD B2C anmelden.

Sie können weitere Details zum Bereitstellen von Sign-up und Anmelden bei Verbrauchern mit Microsoft-Konten in this official document sehen.

Hoffe, das hilft.