首页 文章

Azure AD组的有限视图

提问于
浏览
2

是否可以授予使用Azure Active Directory(租户)权限注册的应用程序以查看某些(但不是所有)组?有 Groups.Read.All 权限,但相关应用程序的客户不希望将AD中的所有组(和用户)公开给应用程序 .

可能有一些应用程序可以查看的组或类似组(所有相关组中的木偶用户?)可能有效,但是能够指定AD的子集以授予访问权限会很好 .

应用程序角色未被使用,因为应用程序的卖点之一是动态创建角色的能力,据我所知,这是不可能的 . 这些组的目的是用于授权,并且客户直接在Azure AD中管理组成员资格将是有利的,而不仅仅是在应用程序中 .

作为一个具体示例,如何在向客户的Azure AD注册期间配置应用程序集成,以便它可以访问组 DEF (这些是组 C 中的元素),但不知道组 GH (不是 C )?理想情况下,用户 A 可能是所有组的成员,并且应用程序不会知道 GH .

谢谢!

1 回答

  • 1

    无法限制访问所有组的元数据(即读取组名,成员角色等) . 但是,这不应与访问组的内容相混淆 . 如果经过身份验证的用户有权访问,则 Groups.Read.All 范围将仅返回组的内容 .

    例如,我可以使用 /v1.0/groups/{id} 读取组的属性,但如果我不是该组的成员(或所有者),如果我尝试调用 /v1.0/groups/{id}/conversations ,我将收到异常:

    {
        "error": {
            "code": "ErrorAccessDenied",
            "message": "Access is denied. Check credentials and try again.",
            "innerError": {
                "request-id": "1eab6eea-d666-46e8-926a-922f34dd4b51",
                "date": "2018-06-08T20:47:58"
            }
        }
    }
    

相关问题