我有一个调用图api的应用程序,以便更新用户数据库以匹配活动目录用户。
我看到每一个调用它的用户都遇到错误。 403禁止。我做了一些研究,发现用户需要授予directory.read ...,所以我这样做了,然后就可以了。
但是,我不想让我的应用程序请求每个用户授予这些权限。我相信也许可以通过向应用程序背后的“用户”授予正确的权限来实现相同的目标。我不太确定那是谁。也许秘密和位于我的web.config中的客户端会对此起作用吗?我认为可能是这样的原因是因为我使用这些凭据最初对图形api进行了身份验证。我做。要向当前用户传递Microsoft信息以登录...
答案 0 :(得分:1)
在这种情况下,您可以将应用程序配置为使用仅应用程序权限。在文档中,它称为“应用程序”权限。权限被授予应用程序。管理员仅同意一次同意,以后不会提示用户同意。更多:https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent