#azure-active-directory #office365 #microsoft-graph-api
#azure-active-directory #office365 #microsoft-graph-api
Вопрос:
У меня есть зарегистрированное приложение Microsoft.
Я использую «конечную точку согласия администратора», чтобы разрешить администраторам организаций давать согласие на разрешения, требуемые моим приложением.
Пока у меня была единственная организация, использующая мои службы приложений, мои разрешения были определены статически на странице моего приложения, и это работало хорошо.
Теперь у меня несколько организаций, и разрешения, которые мне нужны от каждой организации, разные.
Есть ли способ для меня запросить у администратора каждого клиента разные разрешения?
Я знаю, что все необходимые мне разрешения я все еще могу определить статически и всегда запрашивать их все у администратора каждой организации, но я действительно предпочитаю не запрашивать разрешения, которые мне не нужны, и это также может помешать этим администраторам дать свое согласие..
просматривая документы Microsoft, я нашел это:
Согласие администратора не принимает параметр scope, поэтому любые запрашиваемые разрешения должны быть статически определены при регистрации приложения. В целом рекомендуется убедиться, что разрешения, статически определенные для данного приложения, являются надмножеством разрешений, которые оно будет запрашивать динамически / постепенно.
Похоже, что ответ на мой вопрос «нет», но, возможно, я что-то упускаю? Странно, что я не могу запросить только то разрешение, которое мне нужно…
справочная страница:
окончательные разрешения с согласия администратора Microsoft docs
Ответ №1:
Разрешения, согласованные администратором, должны быть определены при регистрации приложения на данный момент. «Динамическое согласие» в настоящее время не поддерживается для разрешений в области администратора.
Комментарии:
1. Я бы добавил, что только потому, что вы запросили согласие администратора для набора областей, это не означает, что вы должны запрашивать согласие пользователя для того же набора областей.
2. Спасибо вам обоим. Теперь я думаю, что, возможно, мне следует установить приложение Microsoft для каждого отдельного приложения Microsoft, с которым я интегрируюсь, например, приложение Microsoft для OneDrive (которое будет запрашивать разрешения OneDrive) и другое приложение Microsoft для Outlook (которое будет запрашивать разрешения почты), и поэтому я могу запрашивать согласие администраторов только для их соответствующих приложений.. имеет ли это смысл?
3. @Noam к сожалению, это то, что вам нужно сделать, если вы хотите имитировать динамическое согласие с правами администратора. В нашем приложении у нас есть основной идентификатор приложения с некоторыми разрешениями, с которыми согласны все, а затем еще один для некоторых необязательных действий. это ЛАВАШ 🙂
4. @ChrisJohnson, хорошо, я сделал это, и, похоже, все работает нормально. еще раз спасибо 🙂