搜索
搜索

Azure AD 删除已注册应用的权限

debugcn 发表于 Dev
3
斯蒂芬

我正在使用 Azure AD 来保护我的服务调用。(每个服务在 Azure AD 中都有一个应用程序标识)。

示例:Application A想要访问Application B.

我注意到,当Application A使用客户端凭据流(带证书)请求访问令牌时,会发出访问令牌,而无需我明确设置访问权限Application B

这对我来说似乎很奇怪,因为返回的令牌已将其受众设置为Application B甚至认为我没有明确授予它访问权限。

如果我理解正确,默认情况下所有注册的应用程序都可以相互访问?

Azure AD 中是否有一种方法可以明确要求设置权限才能使应用程序相互访问?

以下是Application A所需权限的屏幕截图如您所见,Application B此处未列出。

在此处输入图片说明

在下面的屏幕截图中,我将TodoListService(又名应用程序 B)分配给了所需的权限Application A

在此处输入图片说明

在六月

我注意到,当使用客户端凭据流(带证书)从应用程序 A 请求访问令牌时,无需我显式设置访问应用程序 B 的权限即可发出访问令牌。

是的,这可能有点令人惊讶,我也不知道为什么会这样。

您需要做的是在 API 上定义应用程序权限,然后在客户端分配。然后您需要检查调用者在令牌中是否具有所需的应用程序权限。

我有一篇关于此主题的文章:定义 Azure AD 中应用程序提供的权限范围和角色

要在 API 上定义应用权限,您必须在 Azure AD 中编辑其清单,并添加成员类型为应用程序的应用角色,例如:

{
  "appRoles": [
  {
    "allowedMemberTypes": [
      "Application"
    ],
    "displayName": "Read all todo items",
    "id": "f8d39977-e31e-460b-b92c-9bef51d14f98",
    "isEnabled": true,
    "description": "Allow the application to read all todo items as itself.",
    "value": "Todo.Read.All"
  }
  ]
}

IIRC 你必须为 id 生成一个 GUID。在 API 上定义此权限后,转到您的客户端应用程序,并在必需权限中添加应用程序权限。然后你应该按授予权限来授予应用程序权限。

现在,当客户端获取带有客户端凭据的令牌时,令牌将包含:

{
  "roles": [
    "Todo.Read.All"
  ]
}

所以你必须检查它是否存在。

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

Azure AD 中的应用注册

来自分类Dev

Azure AD的可选应用程序权限

来自分类Dev

撤销 Azure AD 应用程序的权限

来自分类Dev

查询特定的Azure AD权限

来自分类Dev

按需请求 Azure AD 权限

来自分类Dev

在Azure AD中注册应用以访问CDS Web API

来自分类Dev

azure AD 上的访问级别以进行应用注册

来自分类Dev

在Azure AD中配置应用程序权限

来自分类Dev

通过PowerShell检索Azure AD应用程序的“ API权限”

来自分类Dev

Azure AD OAuth2.0 应用程序权限

来自分类Dev

Azure AD帐户的Windows 10 NTFS权限

来自分类Dev

使用API在Azure AD中注册应用程序(应用程序注册)?

来自分类Dev

旨在在常规Azure AD租户内部创建Azure AD B2C应用程序注册?

来自分类Dev

Azure AD应用程序角色

来自分类Dev

Azure登录多租户AD应用失败

来自分类Dev

Azure AD应用程序证书

来自分类Dev

旧版Azure AD应用程序注册中的“授予权限”按钮与新体验中的“授予管理员同意”有什么不同?

来自分类Dev

如何使用Powershell Az模块授予Azure AD应用程序访问所需权限的权限

来自分类Dev

使用Azure DocumentDB的Azure AD应用程序

来自分类Dev

Azure Runbook 无法修改 Azure AD 应用程序

来自分类Dev

将 Azure AD 集成到 Java Web 应用程序中。如何破解 Azure AD

来自分类Dev

Azure AD Daemon应用程序应用程序权限和id_token

来自分类Dev

为什么我的应用程序要求未在Azure AD应用程序中配置的权限

来自分类Dev

如何在Azure AD上向我自己的应用程序添加应用程序权限

来自分类Dev

向现有的Azure AD应用注册中添加新的静态范围

来自分类Dev

在Azure AD中手动注册新的应用程序

来自分类Dev

我的 Azure AD 租户中需要注册多少个应用程序

来自分类Dev

自动将应用程序注册到 Azure AD 以进行 SSO

来自分类Dev

是否有用于 Azure AD 应用程序注册的 PowerShell DSC 模块?

Related 相关文章

  1. 1

    Azure AD 中的应用注册

  2. 2

    Azure AD的可选应用程序权限

  3. 3

    撤销 Azure AD 应用程序的权限

  4. 4

    查询特定的Azure AD权限

  5. 5

    按需请求 Azure AD 权限

  6. 6

    在Azure AD中注册应用以访问CDS Web API

  7. 7

    azure AD 上的访问级别以进行应用注册

  8. 8

    在Azure AD中配置应用程序权限

  9. 9

    通过PowerShell检索Azure AD应用程序的“ API权限”

  10. 10

    Azure AD OAuth2.0 应用程序权限

  11. 11

    Azure AD帐户的Windows 10 NTFS权限

  12. 12

    使用API在Azure AD中注册应用程序(应用程序注册)?

  13. 13

    旨在在常规Azure AD租户内部创建Azure AD B2C应用程序注册?

  14. 14

    Azure AD应用程序角色

  15. 15

    Azure登录多租户AD应用失败

  16. 16

    Azure AD应用程序证书

  17. 17

    旧版Azure AD应用程序注册中的“授予权限”按钮与新体验中的“授予管理员同意”有什么不同?

  18. 18

    如何使用Powershell Az模块授予Azure AD应用程序访问所需权限的权限

  19. 19

    使用Azure DocumentDB的Azure AD应用程序

  20. 20

    Azure Runbook 无法修改 Azure AD 应用程序

  21. 21

    将 Azure AD 集成到 Java Web 应用程序中。如何破解 Azure AD

  22. 22

    Azure AD Daemon应用程序应用程序权限和id_token

  23. 23

    为什么我的应用程序要求未在Azure AD应用程序中配置的权限

  24. 24

    如何在Azure AD上向我自己的应用程序添加应用程序权限

  25. 25

    向现有的Azure AD应用注册中添加新的静态范围

  26. 26

    在Azure AD中手动注册新的应用程序

  27. 27

    我的 Azure AD 租户中需要注册多少个应用程序

  28. 28

    自动将应用程序注册到 Azure AD 以进行 SSO

  29. 29

    是否有用于 Azure AD 应用程序注册的 PowerShell DSC 模块?

热门标签

归档