在Azure AD AD 1.0端点上注册本机应用程序并分配图形API权限时,似乎同意的权限在某个地方"缓存",无法正确管理。
示例方案:
-
已注册的申请和权限范围(包括要求管理员同意的人)。
-
管理员同意许可范围
-
简单用户可以在同意的权限下使用该应用程序。
-
权限范围更改(例如添加新的)
-
相同的管理员再也无法获得同意书
-
简单的用户被"需要同意,有一个管理员帐户?"
-
另一个全局管理员必须首次使用该应用程序触发同意页面。
请注意,#7并不总是有效;即使其他管理员提供同意,简单用户有时无法通过。
这是一个多租户应用程序,但是当在另一个租户中开始使用它时,我在企业应用程序下的AAD门户中看不到其同意权限。
不应该同意在其他租户中列出的许可,以便管理员至少可以查看已同意的内容?
另外,当我在自己的房客的v1.0端点上注册一个应用程序时,我可以选择从Azure AD Portal中心授予权限。
如果我正在查看另一个租户注册的应用程序,则此选项将不可用。
我在俯瞰什么吗?任何帮助都非常感谢。
更改权限时,它不会自动重新介绍(对于用户或管理员)。您可以在了解用户和管理员同意的情况下找到有关此信息的详细概述。
您首先需要启动管理员同意工作流程。对于多租户应用程序,这是通过将prompt=admin_consent添加到OAuth URL并具有Admin验证的。
完成此操作后,您还可以通过将prompt=consent添加到您的身份验证范围内,也可以迫使现有用户重新介绍。