我们有一个多租户单页应用程序(和后端),它使用 Azure AD 对用户进行身份验证。我们希望对客户的 Azure AD 进行查询以检索组,但使其成为客户(租户)的选择加入行为。其背后的原因是,并非所有客户都需要该功能,他们宁愿不授予我们对他们 AAD 不必要的访问权限。
是否有某种方法可以使用 Azure AD 实现这一点?
我一直在尝试使用具有资源 ID 和范围的不同 OAuth /authorize 调用进行测试,但大多数情况下我最终得到“ AADSTS65001:用户或管理员尚未同意使用 ID 为‘’的应用程序。为此发送交互式授权请求用户和资源。 ”错误。将 Web 应用程序或后端配置为需要权限肯定会修复错误,但这也将使应用程序的所有用户都必须对其进行批准。
是否可以使用授权/同意 API 来按需请求访问新应用程序?
一个应该可行的丑陋解决方法是拥有 2 个客户端 ID 和 2 个具有不同权限的后端 ID,但 ADAL.js 似乎并非设计为与多个客户端 ID 一起使用(对于初学者来说,它是单例的)。此外,应用程序权限当然应该有效,但我不确定搜索组需要多少权限。
是否可以使用授权/同意 API 来按需请求访问新应用程序?
看看吧Azure AD v2.0
。使用他们的incremental & dynamic consent model
,虽然我不确定此特定功能(管理组)是否可用,但可以这样做。
我最近与 Azure AD 团队成员讨论了这个问题(因为我们也面临同样的问题),他建议我们看看这个。
本质上,Azure AD v2.0 中的工作方式是从一组基本权限(如登录、读取配置文件等)开始。然后,当某个租户需要特定权限时,您实际上是要求他们仅在那时将这些权限授予您的应用程序。这意味着您的应用程序中的不同用户对您的应用程序授予了不同的权限。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句