Мне не удалось назначить TokenLifetimePolicy политику приложений Azure AD из PowerShell. У меня была ошибка BadRequest : Message: Open navigation properties are not supported on OpenTypes.Property name: 'policies
Я пытаюсь реализовать срок действия токена из Настраиваемое время жизни токена в Azure Active Directory
Смотрите снимок экрана ниже, любые полезные ссылки и решения по командлету AzureAD Add-AzureADApplicationPolicy приветствуются.
Я заставил его работать, используя только командлет New-AzureADPolicy и установив -IsOrganizationDefault $true, а не $false. Эффект занимает некоторое время, прежде чем вы его увидите. Так что подождите примерно от 30 минут до часа (точно не знаю, сколько). После этого ваша новая политика будет создана и применена. Также помните, что это PowerShell, поэтому в командлете не должно быть пробелов.
Пример:
New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"02:00:00","MaxInactiveTime":"02:00:00","MaxAgeSessionSingleFactor":"02:00:00"}}') -DisplayName "PolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
Многострочная версия:
New-AzureADPolicy -Definition @(
'
{
"TokenLifetimePolicy":
{
"Version": 1,
"AccessTokenLifetime": "02:00:00",
"MaxInactiveTime": "02:00:00",
"MaxAgeSessionSingleFactor": "02:00:00"
}
}
'
) -DisplayName "PolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
Microsoft может решить проблему с IsOrganizationDefault $true. Подробнее об этом читайте в вопросе: Azure AD Configurable Token Сроки службы не применяются.
Я тестирую это совсем немного для своих клиентов. Время от времени я сталкиваюсь с подобными проблемами из-за отсутствия последней версии PowerShell.
get-module
Последняя на данный момент версия 2.0.0.114 для AzureADPreview (V2) Инструкции скачать здесь
Как указал Сет, возникла проблема с -IsOrganizationDefault $true.
Еще одна проблема, которую я обнаружил, заключается в наличии нескольких версий PowerShell в вашей системе, и она загружает не ту версию, в которой нет обновленных битов. Я столкнулся с этим в прошлую пятницу - мне пришлось все стереть и переустановить - тогда это исправило.
Также -
Есть разница между:
Add-AzureADApplicationPolicy
и
Add-AzureADServicePrincipalPolicy
Один для объекта приложения, а другой для ServicePrincipal. Если вы применяете его, скажем, приложение на основе SAML, вам следует применить его к ServicePrincpal.
Примечание. Существуют разные ObjectID для объекта приложения и объекта servicePrincipal. Не путайте их. В качестве эксперимента запустите две команды cmd для своего приложения:
Get-AzureADServicePrincipal -SearchString <name of app>
Get-AzureADApplication -SearchString <name of app>
Если вы захватите неправильный ObjectID - не пойдет, когда вы перейдете к применению политики
Последовательность для этих политик следующая: ServicePrincipal -> Application -> Tenant (organization).
Было ли приложение создано на портале B2C?
При положительном ответе ожидается такое поведение: Microsoft имеет 2 конечные точки авторизации, V1 и V2.
Портал B2C создает приложения V2. Параметр времени жизни токена из powershell, вероятно, работает только с приложениями V1.
На лезвии b2c есть настройки, чтобы изменить это.
Другой вариант — создать приложение из блейда Azure Active Directory (в отличие от блейда b2c). Затем вы можете установить время жизни токена с помощью powershell.
Get-AzureADPolicy. - person Daniel Dobalian schedule 26.05.2017IdиRefObjectId, которые были переданы. - person Julius Depulla schedule 28.05.2017