Azure AD - 应用注册 - 租户同意
Azure AD - App Registration - Tenant Consent
我对 Azure AD 中的多租户应用程序注册有疑问。用户第一次通过该应用程序登录时,它将要求他同意在必要时访问他的一些数据,或者要求管理员授予租户级别的同意。这样就好了。
但是如果对应用程序注册进行了更改(例如修改注销URL)怎么办?是否有可能从未使用过应用程序注册的用户需要同意,或者租户管理员可能需要再次同意?
是的。如果修改redirecturl、permissions、logouturl[=19=等属性] 等等,你必须让其他租户的管理员再次做管理员同意才能生效。
使用admin consent url是最快的方法:
https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}
更改重定向 URL 或注销 URL 不会导致再次提示同意。
更改配置的权限也不会导致已经同意的用户必须再次同意(但应用程序将只拥有最初授予的权限)。
只有在以下情况下才会提示用户同意:
- 如果您的应用程序动态请求未被授予的权限(例如
scope=https://graph.microsoft.com/Mail.Read,如果 Mail.Read 未被授予。
- 如果您的应用程序请求访问资源的“.default”,但尚未授予该资源任何权限。例如,如果您的应用程序请求
scope=https://graph.microsoft.com/.default 并且未授予 Microsoft Graph 的委派权限,系统将提示用户同意(对于在应用程序注册中配置的所有权限)。如果已授予对所请求资源的任何权限,则不会提示用户同意。
- 如果您的应用程序使用
prompt=consent 强制用户同意。不要这样做——几乎没有必要这样做的情况。 (在 阅读更多相关内容)
我对 Azure AD 中的多租户应用程序注册有疑问。用户第一次通过该应用程序登录时,它将要求他同意在必要时访问他的一些数据,或者要求管理员授予租户级别的同意。这样就好了。
但是如果对应用程序注册进行了更改(例如修改注销URL)怎么办?是否有可能从未使用过应用程序注册的用户需要同意,或者租户管理员可能需要再次同意?
是的。如果修改redirecturl、permissions、logouturl[=19=等属性] 等等,你必须让其他租户的管理员再次做管理员同意才能生效。
使用admin consent url是最快的方法:
https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}
更改重定向 URL 或注销 URL 不会导致再次提示同意。
更改配置的权限也不会导致已经同意的用户必须再次同意(但应用程序将只拥有最初授予的权限)。
只有在以下情况下才会提示用户同意:
- 如果您的应用程序动态请求未被授予的权限(例如
scope=https://graph.microsoft.com/Mail.Read,如果 Mail.Read 未被授予。 - 如果您的应用程序请求访问资源的“.default”,但尚未授予该资源任何权限。例如,如果您的应用程序请求
scope=https://graph.microsoft.com/.default并且未授予 Microsoft Graph 的委派权限,系统将提示用户同意(对于在应用程序注册中配置的所有权限)。如果已授予对所请求资源的任何权限,则不会提示用户同意。 - 如果您的应用程序使用
prompt=consent强制用户同意。不要这样做——几乎没有必要这样做的情况。 (在