我对 Azure AD 中的 Multi-Tenancy 应用程序注册有疑问。用户首次通过应用程序登录时,如有必要,系统会要求他同意访问其部分数据,或者要求管理员授予租户级别的同意。这很好。
但是如果应用程序注册发生更改(例如修改注销 URL)怎么办?是否有可能从未使用过应用程序注册的用户需要授予他们的同意,或者租户管理员可能需要再次授予他的同意?
最佳答案
更改您的重定向 URL 或注销 URL 不会导致再次提示您同意。
更改配置的权限也不会导致已授予同意的用户必须再次授予同意(但应用将仅拥有最初授予的权限)。
仅在以下情况下才会提示用户同意:
- 如果您的应用程序动态请求尚未授予的权限(例如
scope=https://graph.microsoft.com/Mail.Read
,如果 Mail.Read 尚未获得批准。 - 如果您的应用程序请求访问某个资源的“.default”,但尚未授予该资源的任何权限。例如,如果您的应用程序请求
scope=https://graph.microsoft.com/.default
并且尚未授予 Microsoft Graph 的委派权限,系统将提示用户同意(对于所有权限)在应用程序注册中配置)。如果已授予所请求资源的任何权限,则不会提示用户同意。 - 如果您的应用使用
prompt=consent
强制用户同意。不要这样做——几乎没有必要这样做。 (有关此内容的更多信息,请访问 https://stackoverflow.com/a/60151790/325697.)
关于Azure AD - 应用程序注册 - 租户同意,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66482212/