那些遇到过的问题

如何测试是否已获得管理员同意

Kur*_*ede 2 oauth multi-tenant azure-active-directory microsoft-graph-api

我们正在开发一个 Office 加载项,可使用 Azure AD 的组织帐户进行身份验证。该加载项需要管理同意。因此,如果管理员登录,应引导他表达管理同意。

我们使用 OAuth 进行身份验证:

https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=<clientId>&redirect_uri=<redirectUri>
Run Code Online (Sandbox Code Playgroud)

我们通过附加&prompt=admin_consent到该 URL来请求管理员同意

问题1.我们如何测试管理员是否已成功同意,因此如果管理员之前没有同意,我们只需要求管理员同意即可?

问题 2. 我们如何检查加载项的更新版本现在是否可能需要更多权限,并告知用户和管理员该新要求?

Dan*_*ian 6

太长了;博士

是的,你可以这样做。您需要调用此 MS Graph 端点,并检查oAuth2PermissionGrant 对象consentType设置为 的字段AllPrincipals

一些背景

使用Microsoft Graph,您可以确定是否已授予管理员同意。授予管理员同意后,应用程序上会写入 OAuth2.0 权限授予。

在每个权限授予中,都有一个字段指示授予的权限级别。对于管理员同意,您需要寻找AllPrincipals.

详细步骤

  1. 连接您的应用程序以调用 Microsoft Graph。确保它正在请求调用所需端点所需的所有权限。这在委派(代表最终用户)或应用程序角色的情况下有所不同。

应用程序角色Directory.Read.All&Directory.ReadWrite.All

委派权限Diretory.Read.AllDirectory.ReadWrite.All、 或Directory.AccessAsUser.All按从最低权限到最高权限的顺序。

  1. 调用MS Graph 的GET /oAuth2PermissionGrant 端点。

这将返回一个oAuth2PermissionGrant 对象,其中包含您正在查找的详细信息。

  1. 检查该consentType字段的响应。您可能需要枚举所有查找值的补助金AllPrincipals

归档时间:

查看次数:

2567 次

最近记录:

4 年,3 月 前
相关归档
从ASP.NET MVC 5中的Facebook v2.4 API访问OAuth ExternalLoginCallback中的电子邮件地址 23
使用 Apple 登录(iOS 应用程序 + 后端验证)API 返回错误“invalid_client” 17
在哪里可以找到我的Yahoo Application ID? 7
AzCopy登录失败 7
OAUTH使用PHP的PECL OAUTH - 使用方法getRequestToken()时不能使用POST? 6
android应用程序的Oauth2重定向URI 5
Gitlab + Jenkins 与 Azure Active Directory 身份验证 5
Unauthorize-401 错误,QuickBooks 1
如果未安装Twitter应用,则Android应用Twitter登录失败(不显示webView登录屏幕) 1
使用 PHP SDK 进行大文件的 Microsoft Graph API 文件上传仍然失败 1
难疑归档
如何检查字符串是否包含JavaScript中的子字符串? 7430
如何检查字符串是否包含特定单词? 2663
如何制作一系列功能装饰器? 2647
如何删除导出的环境变量? 1439
纯JavaScript相当于jQuery的$ .ready() - 如何在页面/ DOM准备就绪时调用函数 1244
在Python中创建一个包含列表推导的字典 1216
HTML中"role"属性的目的是什么? 1122
如何将div的内容与底部对齐? 1098
将绘图保存到图像文件,而不是使用Matplotlib显示它 1060
如何检查对象是否在JavaScript中有密钥? 1047