Azure AD 的可选应用程序权限
Optional application permissions for Azure AD
现在我只请求了用户成功通过 SaaS 应用程序身份验证所需的权限。这些是 委派权限。
我现在想知道如何处理新守护程序集成的权限,它将从 Graph 请求不同的数据并需要 应用程序权限 。到目前为止,我看到了这些替代方案:
- 我创建了一个新的应用程序,代表集成,如果客户想要启用此功能,他们会通过管理员同意流程并授予所需的应用程序权限。
- 我用 'optional permissions' 阻碍了主应用程序,并告诉客户如果他们不使用这个特定功能,那么他们可以撤销这个和那个权限。
还有更多选择吗?其他人如何处理这种情况?
我预见到将来会有更多需要不同权限的守护进程,这使得备选方案 1) 看起来毫无吸引力。另一方面,如果我走路线 2) 并请求不适用于该组织功能集的各种权限,我可以设想到处都是 AD 管理员的回击。
最佳做法会要求您为每个 application/daemon 单独注册一个应用程序。话虽这么说,如果您不想这样做,您可以在两个选项之间做一些事情,为所有守护进程进行第二次应用程序注册,并进行一个简单的 SPA 只是为了登录以同意该应用程序注册,这是与 saas 应用程序注册分开。
不过,我肯定会避免在您的列表中使用选项 2,因为这样 saas 应用程序在技术上将能够访问您的守护程序权限所具有的所有相同内容,这可能会带来很大的安全风险。
现在我只请求了用户成功通过 SaaS 应用程序身份验证所需的权限。这些是 委派权限。
我现在想知道如何处理新守护程序集成的权限,它将从 Graph 请求不同的数据并需要 应用程序权限 。到目前为止,我看到了这些替代方案:
- 我创建了一个新的应用程序,代表集成,如果客户想要启用此功能,他们会通过管理员同意流程并授予所需的应用程序权限。
- 我用 'optional permissions' 阻碍了主应用程序,并告诉客户如果他们不使用这个特定功能,那么他们可以撤销这个和那个权限。
还有更多选择吗?其他人如何处理这种情况?
我预见到将来会有更多需要不同权限的守护进程,这使得备选方案 1) 看起来毫无吸引力。另一方面,如果我走路线 2) 并请求不适用于该组织功能集的各种权限,我可以设想到处都是 AD 管理员的回击。
最佳做法会要求您为每个 application/daemon 单独注册一个应用程序。话虽这么说,如果您不想这样做,您可以在两个选项之间做一些事情,为所有守护进程进行第二次应用程序注册,并进行一个简单的 SPA 只是为了登录以同意该应用程序注册,这是与 saas 应用程序注册分开。 不过,我肯定会避免在您的列表中使用选项 2,因为这样 saas 应用程序在技术上将能够访问您的守护程序权限所具有的所有相同内容,这可能会带来很大的安全风险。