在Azure AD 1.0 endpoints 上注册本机应用程序并分配图形API权限时,似乎同意权限在某处“缓存”并且无法正确管理 .
示例场景:
-
已分配应用程序注册和权限范围(包括需要管理员同意的应用程序) .
-
管理员同意权限范围
-
简单用户可以使用具有同意权限的应用程序 .
-
权限范围更改(例如添加新权限)
-
相同的管理员不再获得同意书
-
简单用户坚持“需要同意,拥有管理员帐户?”
-
另一位全球管理员必须首次使用该应用触发同意页面 .
请注意,#7并不总是有效;即使其他管理员同意,简单的用户也无法通过 .
这是一个多租户应用程序,但是当开始在另一个租户中使用它时,我无法在企业应用程序下的AAD门户中看到它同意的权限 .
不应该同意在其他租户中列出的权限,以便管理员至少可以看到已经同意的内容?
此外,当我在自己的租户中的V1.0 endpoints 上注册应用程序时,我可以选择从我的租户的Azure AD门户集中“授予权限” .
如果我正在查看在另一个租户中注册的应用程序,则此选项不可用 .
我忽略了什么吗?任何帮助非常感谢 .
1 回答
更改权限时,它不会自动重新同意(对于用户或管理员) . 您可以在Understanding user and admin consent找到详细的概述 .
您首先需要启动Admin Consent工作流程 . 对于多租户应用,可以通过将
prompt=admin_consent
添加到您的OAUTH URL并进行管理员身份验证来完成 .完成后,您还可以通过向您的Auth URL添加
prompt=consent
来强制现有用户重新同意 .