我有一个 Azure Active Directory 应用程序(以及关联的服务主体)。该服务主体需要能够在 Azure Active Directory 组中添加和删除成员...因此我在应用程序权限下添加了读取和写入目录数据:
我有代码使用客户端 ID 和客户端 key 来获取身份验证 token ,并使用 Azure Graph API 执行这些操作。
但是,此权限过于宽泛。我需要应用程序/服务主体仅能够添加和删除特定组(不是全部)中的成员...而不能执行其他类型的操作。
有办法做到这一点吗?
谢谢。
最佳答案
有一个预览功能可以部分满足您的要求:“Group.ReadWrite.All”。它允许您的主体创建和更新组及其导航属性(包括成员)。但是,它不会减少仅修改某些组的权限。
AAD 权限范围如下所述:https://msdn.microsoft.com/Library/Azure/Ad/Graph/howto/azure-ad-graph-api-permission-scopes
预览功能可能会发生变化,您必须同意减少的服务条款等:https://azure.microsoft.com/en-us/services/preview/
关于Azure Active Directory 对象权限,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34797768/