首页 文章

Azure AD V1 endpoints 注册本机应用程序:给出了图形API同意但用户无法通过

提问于
浏览
0

在Azure AD 1.0 endpoints 上注册本机应用程序并分配图形API权限时,似乎同意权限在某处“缓存”并且无法正确管理 .

示例场景:

  • 已分配应用程序注册和权限范围(包括需要管理员同意的应用程序) .

  • 管理员同意权限范围

  • 简单用户可以使用具有同意权限的应用程序 .

  • 权限范围更改(例如添加新权限)

  • 相同的管理员不再获得同意书

  • 简单用户坚持“需要同意,拥有管理员帐户?”

  • 另一位全球管理员必须首次使用该应用触发同意页面 .

请注意,#7并不总是有效;即使其他管理员同意,简单的用户也无法通过 .

这是一个多租户应用程序,但是当开始在另一个租户中使用它时,我无法在企业应用程序下的AAD门户中看到它同意的权限 .

不应该同意在其他租户中列出的权限,以便管理员至少可以看到已经同意的内容?

此外,当我在自己的租户中的V1.0 endpoints 上注册应用程序时,我可以选择从我的租户的Azure AD门户集中“授予权限” .

如果我正在查看在另一个租户中注册的应用程序,则此选项不可用 .

我忽略了什么吗?任何帮助非常感谢 .

1 回答

  • 1

    更改权限时,它不会自动重新同意(对于用户或管理员) . 您可以在Understanding user and admin consent找到详细的概述 .

    您首先需要启动Admin Consent工作流程 . 对于多租户应用,可以通过将 prompt=admin_consent 添加到您的OAUTH URL并进行管理员身份验证来完成 .

    完成后,您还可以通过向您的Auth URL添加 prompt=consent 来强制现有用户重新同意 .

相关问题