Microsoft Active Directory: запрашивает у администратора клиента определенные разрешения

#azure-active-directory #office365 #microsoft-graph-api

#azure-active-directory #office365 #microsoft-graph-api

Вопрос:

У меня есть зарегистрированное приложение Microsoft.

Я использую «конечную точку согласия администратора», чтобы разрешить администраторам организаций давать согласие на разрешения, требуемые моим приложением.

Пока у меня была единственная организация, использующая мои службы приложений, мои разрешения были определены статически на странице моего приложения, и это работало хорошо.

Теперь у меня несколько организаций, и разрешения, которые мне нужны от каждой организации, разные.

Есть ли способ для меня запросить у администратора каждого клиента разные разрешения?

Я знаю, что все необходимые мне разрешения я все еще могу определить статически и всегда запрашивать их все у администратора каждой организации, но я действительно предпочитаю не запрашивать разрешения, которые мне не нужны, и это также может помешать этим администраторам дать свое согласие..

просматривая документы Microsoft, я нашел это:

Согласие администратора не принимает параметр scope, поэтому любые запрашиваемые разрешения должны быть статически определены при регистрации приложения. В целом рекомендуется убедиться, что разрешения, статически определенные для данного приложения, являются надмножеством разрешений, которые оно будет запрашивать динамически / постепенно.

Похоже, что ответ на мой вопрос «нет», но, возможно, я что-то упускаю? Странно, что я не могу запросить только то разрешение, которое мне нужно…

справочная страница:

окончательные разрешения с согласия администратора Microsoft docs

Ответ №1:

Разрешения, согласованные администратором, должны быть определены при регистрации приложения на данный момент. «Динамическое согласие» в настоящее время не поддерживается для разрешений в области администратора.

Комментарии:

1. Я бы добавил, что только потому, что вы запросили согласие администратора для набора областей, это не означает, что вы должны запрашивать согласие пользователя для того же набора областей.

2. Спасибо вам обоим. Теперь я думаю, что, возможно, мне следует установить приложение Microsoft для каждого отдельного приложения Microsoft, с которым я интегрируюсь, например, приложение Microsoft для OneDrive (которое будет запрашивать разрешения OneDrive) и другое приложение Microsoft для Outlook (которое будет запрашивать разрешения почты), и поэтому я могу запрашивать согласие администраторов только для их соответствующих приложений.. имеет ли это смысл?

3. @Noam к сожалению, это то, что вам нужно сделать, если вы хотите имитировать динамическое согласие с правами администратора. В нашем приложении у нас есть основной идентификатор приложения с некоторыми разрешениями, с которыми согласны все, а затем еще один для некоторых необязательных действий. это ЛАВАШ 🙂

4. @ChrisJohnson, хорошо, я сделал это, и, похоже, все работает нормально. еще раз спасибо 🙂