我有一个应用程序调用图形 api 来更新我的用户数据库以匹配活动目录用户。
我看到每个调用它的用户都收到错误。 403 禁止。 我做了一些研究,发现用户需要授予目录.read... 所以我这样做了,然后它起作用了。
但是,我不希望我的应用程序请求每个用户授予这些权限。 我相信也许我可以通过向应用程序背后的"用户"授予正确的权限来实现相同的目标。 我不太确定那是谁。 也许位于我的 web.config 中的秘密和客户端会发挥作用吗? 我认为可能是的原因,是因为我使用这些凭据最初向图形 API 进行身份验证。 我愿意。要传递当前用户Microsoft信息以登录...
在这种情况下,可以将应用配置为使用仅限应用的权限。在文档中,它被称为"应用程序"权限。权限授予应用程序。管理员仅授予一次同意,以后不会提示用户同意。更多: https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent