Graph API를 통해 개별 O365 사용자가 액세스 할 수있는 파일을 다운로드하기 위해 Python Daemon 앱을 구축하고 있습니다. 권한 부여를 위해 MSAL에서 ConfidentialClientApplication 클래스를 사용하려고합니다.
내 이해에서 이것은 관리자가 Files.Read.All에 동의해야하는 "위임 된 권한"이 아니라 "애플리케이션 권한"(Azure AD의 API 권한)을 예상합니다.
그래서 내가 가진 질문은 다음과 같습니다.
감사!
이것은 내 앱이 관리자 동의 후 조직의 모든 파일에 액세스 할 수 있다는 의미인가요?
예, 일반적으로 응용 프로그램 권한의 단점입니다.
개별 사용자 (내 O365 사용자 / UPN) 만 액세스 할 수있는 파일로 데몬 앱에 대한 액세스를 제한하려면 어떻게해야합니까?
데몬 앱의 OneDrive 액세스를 제한 할 수는 없다고 확신합니다. 예를 들어 데몬 앱에 대한 Exchange 액세스를 제한 할 수 있습니다.
대신 사용자 동의가 흐름의 일부인 다른 인증 흐름을 사용해야합니까 (예 : 대리 (또는) 대화 형 (또는) 사용자 이름 암호)?
확실히 특정 사용자에 대한 액세스를 제한 할 수 있습니다. 일반적으로 사용자 이름 + 암호 (ROPC)를 사용하지 않는 것이 좋습니다. 계정에 MFA가있는 경우에는 작동하지 않습니다. 더 안전한 방법은 인증 코드 흐름을 사용하여 데몬 앱을 한 번 초기화해야한다는 것입니다. 이렇게하면 필요할 때 사용자에 대한 액세스 토큰 (및 새 새로 고침 토큰)을 가져 오는 데 사용할 수있는 새로 고침 토큰이 앱에 제공됩니다. 새로 고침 토큰이 만료 될 수 있으며이 경우 사용자가 앱을 다시 초기화해야합니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다