我们有一个多租户Saas应用程序,使用我们的用户名/密码认证系统并使用Azure AD(OAuth 2.0流程)提供登录 . 当用户使用Azure AD登录时,我们可以使用https://graph.windows.net/ / me获取用户的 Profiles . 但是,我们希望使用memberOf或getMemberGroups操作获取更多信息,以检索租户目录中的用户组,以将特定组从租户映射到应用程序中的组织结构 . 但是,这些操作始终会因Forbidden状态代码而失败 . 我们是否缺少必需的权限,或者是否无法查询其他租户的组和角色 .
提前致谢
1 回答
这完全有可能,但今天要求您申请“读取目录”权限 . 此许可确实要求租户同意并由管理员同意 . 我们正在考虑为Graph API添加一些额外的细粒度权限,以允许用户同意(获取组成员身份信息) .
另一个选项是将应用程序配置为请求组成员身份声明(应出现在任何用户或JWT令牌中) . 您可以通过访问azure管理门户并进入应用程序的配置页面来完成此操作 . 从那里下载应用程序清单文件并更新groupMembershipClaims属性 . 您可以在此处描述的应用程序清单中看到大多数属性:https://msdn.microsoft.com/en-us/library/azure/dn151677.aspx . 更新后,您可以上传此应用清单文件,这将相应地配置您的应用程序 . 完成后,AAD将在令牌中发出组成员身份声明 . Dushyant撰写了一篇关于授权访问Web应用程序,使用组成员资格声明或应用程序角色的精彩博客 . 您可以通过Alex Simons博客文章在此处找到它:http://blogs.technet.com/b/ad/archive/2014/12/18/azure-active-directory-now-with-group-claims-and-application-roles.aspx
HTHS