azure-active-directory - azure Azure Active Directory 应用程序中的“授予管理员同意”按钮有什么作用?
问题描述
我们已经配置了一个 azure Active Directory 应用程序,以便我们网站的用户可以通过他们的Microsoft 帐户登录。问题是,如果我们不授予管理员访问权限,那么登录应用程序将失败并显示错误代码AADSTS650056
:
错误配置的应用程序。这可能是由于以下原因之一: 客户端未在客户端应用程序注册的请求权限中列出“AAD Graph”的任何权限。
我们对单击“授予管理员同意”持怀疑态度,担心它可能会暴露任何漏洞。这是正确的方法吗?如果不是,有什么替代方案可以绕过这种同意?
解决方案
每个应用程序都会注册它需要的权限。有些权限可以由用户授予,有些只能由管理员授予。
假设您只有用户可以同意的权限。当他们第一次使用该应用程序时,系统会提示他们(每个用户)同意该应用程序的这些权限。如果在同一场景中单击授予管理员同意,则相当于为租户上的所有用户接受它。
现在让我们假设应用程序注册了需要管理员同意的权限,如果您希望应用程序工作并能够请求令牌,您别无选择,只能单击该按钮。
这些需要管理员同意的权限是允许访问组织中更多或敏感数据的权限。
推荐阅读
- r - 将每个主题的输出指定为特定数量的单词
- cryptography - SHA3 函数属性
- laravel - Heroku Laravel 500(内部服务器错误)oauth-public.key 不存在
- reactjs - 如何在 React js 中正确设置状态
- python - 如何在读取任何使用“utf-8”编码的文件时找到抛出 UnicodeDecodeError 的字符
- python - 为什么“真或真假”这句话是真的?
- java - 使用来自 java spring boot 的入口 url 连接 redis
- go - 如何在本地服务 go-swagger?
- haskell - 这个技巧如何进行类型检查?
- html - 关于创建包含图像的自定义在线 HTML 编辑器的建议?