现在,我只请求用户成功验证SaaS应用程序所需的权限。这些是委派权限。
我现在想知道如何处理新守护程序集成的权限,该集成将要求Graph提供不同的数据并需要应用程序权限。到目前为止,我看到了这些替代方案:
还有更多选择吗?其他人如何处理这种情况?
我预见将来会有更多的守护程序需要不同的权限,这使得替代方法1)似乎没有吸引力。另一方面,如果沿着路线2)前进,我可以设想从任何地方的AD管理员进行回退,并要求各种不适用于该组织功能集的权限。
最佳做法将指示您为每个应用程序/守护程序单独注册一个应用程序。话虽如此,如果您不想这样做,则可以在两个选项之间做一些事情,为所有守护程序进行第二次应用程序注册,并制作一个简单的SPA来登录以同意该应用程序注册,即与saas应用程序注册分开。不过,我绝对会避免在列表中使用选项2,因为从技术上来说,saas应用程序将能够访问守护程序权限所具有的所有相同内容,这可能会带来很大的安全风险。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句