我正在通过以下示例:
https://azure.microsoft.com/resources/samples/active-directory-dotnet-webapp-groupclaims/
要运行示例,我需要对 Microsoft Graph 的 Directory.Read.All 权限:
Configure Permissions for your application. To that extent, in the Settings menu, choose the 'Required permissions' section and then, click on Add, then Select an API, and type Microsoft Graph in the textbox. Then, click on Select Permissions and select Directory.Read.All.
Directory.Read.All 需要 Azure AD 管理员同意。
我的 Azure AD 应用程序没有 Web 用户界面。
我有哪些选项可以让我们的 Azure AD 管理员在不花费太多时间的情况下提供同意?
我们的 Azure AD 管理员是一种繁忙且昂贵的资源。预约他的时间需要付出努力,我希望我可以在让他参与之前排练同意程序。
最佳答案
您有两种选择:使用 Azure 门户或构建同意 URL。
如果应用程序在您想要获得权限的同一 Azure AD 租户中注册,则您可以要求管理员在 Azure 门户中进行应用程序注册,然后导航到“设置”>“所需权限”并单击“授予权限”:
在新的(截至 2018 年 11 月 14 日)应用注册(预览)体验中,这是在 API 下
权限 > 授予管理员同意...:
如果您自己转到此屏幕,您可以复制 URL 并与管理员共享,以帮助他快速找到正确的 Blade 。
即使您的应用不提供 Web 体验,从技术上讲,您仍然可以构建 URL 以请求管理员同意,尽管体验不是很好。有关如何构建管理员同意 URL 的详细信息,请参见文档: https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent#request-the-permissions-from-a-directory-admin 。
最简单的形式是:
https://login.microsoftonline.com/common/adminconsent?client_id={client-id}
使用这种方法,一旦管理员同意,他将被重定向到您的应用注册中配置的授权回复 URL 之一(或特定 URL,如果您使用
redirect_uri 参数)。如果这是一个不存在的 URL,浏览器将显示错误(例如 404)。如果没有为应用注册配置回复 URL,Azure AD 将显示错误(例如“未配置回复 URL”)。您应该警告管理员这可能会发生,但由于这些错误将在已应用同意后显示,因此可以忽略它们。 关于azure-active-directory - 如何找到需要 Microsoft Graph "Read directory data"权限的 Azure AD 应用程序的管理员同意 URL?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53309253/