Ric*_*ton 6 oauth-2.0 microsoft-graph-api
我在 Microsoft Active Directory 中注册了一个多租户应用程序,该应用程序使用管理员同意来获取对 Microsoft Graph API 中某些应用程序范围 API 的访问权限。它使用/token端点获取令牌,然后调用这些图形 API。它工作得很好。
https://docs.microsoft.com/en-us/graph/auth-v2-service#token-request
现在我想增强我的应用程序以访问一些委托(用户)范围 API,这些 API 不允许在应用程序范围内进行访问。我的应用程序已配置为在管理员同意时向管理员请求这些委派权限。但我想以目录中的每个用户的身份调用这些 API ,而不是安装我的应用程序的管理员。
重要的是,让组织中的每个用户单独完成我的应用程序的 OAuth 流程对我来说是不可行的。
那可能吗?我可以通过用我的应用程序令牌交换用户令牌来以某种方式模拟用户吗?管理员是否可以以编程方式执行某些操作,以作为我的应用程序的个人用户生成令牌,就像他们已通过 OAuth 流程一样?
不,您不能将应用程序令牌转换为委托令牌。采取行动的唯一途径为特定用户是该用户为“委托”的活动,您的申请。
请注意,管理员同意仅同意您的应用在租户内运行。它源于用户同意,而不是用户同意的超集。为了获得一个代表令牌,你需要得到双方的用户和管理员的同意。
| 归档时间: |
|
| 查看次数: |
144 次 |
| 最近记录: |