当前位置: 首页 > 知识库问答 >
问题:

在Microsoft Graph API中,具有管理员同意的应用程序是否可以为批准它的管理员以外的其他用户生成令牌?

长孙深
2023-03-14

我有一个在Microsoft Active Directory中注册的多租户应用程序,该应用程序使用管理员同意来访问Microsoft图形API中的一些应用程序范围API。它使用/标记endpoint获取令牌,然后调用这些图形API。它工作得很好。https://learn.microsoft.com/en-us/graph/auth-v2-service#token-request

现在,我想增强我的应用以访问一些不允许在应用程序范围内访问的委派(用户)范围 API。我的应用已配置为在管理员同意时向管理员请求这些委派权限。但我想以目录中的每个用户身份调用这些 API,而不是安装我的应用程序的管理员。

重要的是,让组织中的每个用户单独完成我的应用的 OAuth 流是不可行的。

这可能吗?我可以通过将我的应用程序令牌交换为用户令牌来模拟用户吗?管理员可以以编程方式为我的应用程序的单个用户生成令牌,就像它们已经通过OAuth流一样吗?

共有1个答案

侯令雪
2023-03-14

不,您不能将应用程序令牌转换为委派令牌。充当特定用户的唯一方法是让该用户将这些活动“委派”给您的应用程序。

请注意,管理许可仅允许您的应用程序在租户内运行。它是用户同意书的目的地,而不是其超集。为了获得委托令牌,您需要获得用户和管理员的同意。

 类似资料:
  • 我们遵循Microsoft Code授权流的OAuth2的v2,如下所述, https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-auth-code-flow 在Microsoft Azure下的应用程序注册中创建应用程序后,尝试从以下url获取代码 https://log in . Microsoft

  • 我正在尝试使用 Postman 进行身份验证以获取 Azure AD 持有者令牌,然后将令牌发送到我的本地 WebApi .net Core 服务器,该服务器应验证令牌并将请求发送到图形 API。但是在过去的几个小时里,我被这个错误困住了。 Microsoft.Identity.Client.MsalUiRequiredException: AADSTS65001:用户或管理员不同意使用ID 为“

  • 问题内容: 我有一个Java应用程序。无论如何,在Windows 7上,我是否可以知道该进程是否以管理员权限运行。 问题答案: 我在网上找到了此代码段,我认为它将为您完成这项工作。 它仅适用于Windows,并内置于核心Java包中。我刚刚测试了这段代码,它确实起作用了。它使我感到惊讶,但确实如此。 SID S-1-5-32-544是Windows操作系统中Administrator组的ID。 以

  • 本文向大家介绍PowerShell中以管理员权限启动应用程序的方法,包括了PowerShell中以管理员权限启动应用程序的方法的使用技巧和注意事项,需要的朋友参考一下 又一个PowerShell比CMD好的地方。在CMD中用管理员权限来启动应用程序很复杂,但在PowerShell中就简单多了,如下:

  • 我们正在尝试使用官方文档请求获取Oauth的令牌: 但是当我们发出请求时,它会响应此错误: 问题是,即使在管理员同意的情况下,我们已经在Azure门户AD和应用注册上授予了他们此权限,但仍然: 那里缺少任何权限吗?,对此有任何线索吗?