Блог

Главная - Вопросы по программированию - Пытаюсь разобраться в документации MS по разработке AAD

Пытаюсь разобраться в документации MS по разработке AAD

#azure-devops #azure-active-directory

#azure-devops #azure-active-directory

Вопрос:

Я пишу руководство по разработке приложений и сталкиваюсь с несколькими проблемами:

Прежде всего, в настоящее время в AAD есть 2 конечные точки (v1 и v2), также есть 2 пути регистрации приложений на портале AAD (регистрация приложений и предварительный просмотр регистрации приложений). Кажется, я не могу найти подтверждения тому, что использование блейда предварительного просмотра регистрации приложений обеспечивает принудительное использование конечной точки v2, кто-нибудь может подтвердить? Наши пользователи проходят аутентификацию с использованием WS-Federation, которая в настоящее время не поддерживается конечной точкой v2, поэтому я хочу пока избежать использования v2.

Я также ищу наилучший способ разрешить доступ к Graph API через учетную запись службы с делегированными разрешениями (для более детального определения области).

Кто-нибудь может уточнить?

Спасибо

Комментарии:

1. Какое приложение вы планируете создавать? Wep API, собственный или SPA?

2. Я смотрю на поток от имени пользователя на конечной точке версии v1, для которого требуется 2 приложения, API перед Graph API и клиентское приложение.

3. Какие операции вы хотите выполнять с Graph API?

4. Предпочтительно что угодно (в основном операции CRUD), идея состоит в том, чтобы определить подход к делегированию разрешений в Graph через техническую учетную запись. Например.: разработчик может создать приложение, которое вызывает Graph через учетную запись службы без взаимодействия с пользователем (deamon), что позволяет ему управлять всеми ресурсами AAD / O365, к которым имеет доступ учетная запись службы.

Ответ №1:

Кажется, я не могу найти подтверждения тому, что использование блейда предварительного просмотра регистрации приложений обеспечивает принудительное использование конечной точки v2, кто-нибудь может подтвердить?

Приложение, зарегистрированное в любом из способов регистрации, может использоваться как с конечными точками v1, так и с v2. Однако некоторые функции можно настроить только в режиме предварительного просмотра (например, поддержка учетных записей Microsoft).

Комментарии:

1. Спасибо, Филипп! Это то, чего я ожидал, но не был уверен. Использование библиотеки аутентификации MSAL недоступно в графическом интерфейсе без предварительного просмотра, но вы все равно можете настроить его в манифесте приложения, я полагаю. Есть ли у вас какие-либо указания относительно подхода с делегированными разрешениями?