Azure AD B2C 连接用户使用 Graph AD API 更改密码

我们正在使用Azure AD B2C，我正在尝试为登录用户实现changePassword 功能。我们已经遵循了这个教程https://learn.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-devquickstarts-graph-dotnet https://learn.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-devquickstarts-graph-dotnet，并且我们已经成功地使其发挥作用。 但我们希望登录用户能够更改其现有密码（直接在应用程序中）。我们发现了这个方法（https://msdn.microsoft.com/fr-fr/library/azure/ad/graph/api/functions-and-actions#changePassword https://msdn.microsoft.com/fr-fr/library/azure/ad/graph/api/functions-and-actions#changePassword）但我们没能让它发挥作用......

在 AD B2C 中与登录用户一起使用 AD Graph API 的标准工作流程是什么？ 我有一个链接到 B2C 租户的应用程序。我已经创建了 Android 和 iOS 应用程序，并且由于注册或登录策略，我能够连接并获取令牌，这一点没问题...... 同时，我创建了一个服务应用程序，以便使用 AD Graph API（感谢上面的第一个链接）。 我们已经成功测试了一些操作，例如获取用户列表、查找特定用户、更改一些......但现在我想对连接的用户（第二个李）使用方法“changePassword”，但我使用失败。我不知道要提供哪个访问令牌，两个测试（使用应用程序服务凭据中的令牌或使用通过登录策略收到的访问令牌）都失败了？ 其他问题，我使用 PowerShell 创建的应用程序服务在 Azure 门户中不可见，这是否正常？

谢谢 ;）

其他问题，我使用 PowerShell 创建的应用程序服务在 Azure 门户中不可见，这是否正常？

我们可以通过搜索 appPrincipalId 来找到 PowerShell 创建的服务主体，如下所示：

Update

要执行 Azure AD Graph 的更改密码 REST API，我们需要提供委托访问令牌。在这种情况下，我们可以使用资源所有者密码凭证流程需要用户的用户名和密码进行身份验证。要使用此流程，我们可以注册服务主体，如下所示：

$app = New-AzureRmADApplication -DisplayName "appPS2" -HomePage "https://adb2cfei.onmicrosoft.com/appPS2" -IdentifierUris "https://adb2cfei.onmicrosoft.com/appPS2" -Password "123"

New-AzureRmADServicePrincipal -ApplicationId $app.ApplicationId

然后我们需要登录Azure经典门户来授予委托权限Directory.AccessAsUser.All如下图：

这是使用以下方法获取令牌的代码资源所有者密码凭证流程:

Post: https://login.microsoftonline.com/adb2cfei.onmicrosoft.com/oauth2/token

resource=https%3a%2f%2fgraph.windows.net&client_id={ $app.ApplicationId}&grant_type=password&username=fx%40adb2cfei.onmicrosoft.com&password={currentPassword}&client_secret=123

然后我们可以使用这个令牌来更改登录用户的密码，如下所示：

POST: https://graph.windows.net/adb2cfei.onmicrosoft.com/me/changePassword?api-version=1.6

authorization: bearer {access_token}
content-type: application/json

{
"currentPassword":"{currentPassword}",
"newPassword":"{newPassword}"
}