azure - Azure AD OAuth - 多个目录和 GraphAPI 中的用户

问题描述

假设我有一个身份 (foo)，它作为directory1中的“成员”存在，但也作为 (ext) 全局管理员添加到directory2中。

此外，我们有一家公司发布了一个多租户应用程序，该应用程序需要权限才能执行某些操作。

编辑。澄清

现在，当启动 oauth 流程时，我们不知道 foo 的租户，因此我们将他重定向到/common. 从我们可以观察到的结果场景是 foo 在directory1中进行身份验证和授予权限。如果更改common为，则在来宾目录中执行授权，并在directory2directory2中授予应用程序授权。

我们如何提示 foo 选择在哪个目录中进行身份验证（如果有多个）而不知道他的租期？/common 端点不应该向 foo 询问他授权的目录吗？

我还查看了一些提到graph api vs microsoft graph的文档。在图中，api 似乎可以将租户作为 url 的第一部分传递。赠款在那里如何运作？如果我已授权目录 1 中的应用程序，我如何将目录 2 作为目标并被授权在那里读取？

提前致谢

标签： azureoauth-2.0azure-active-directory