我们有一个多租户Saas应用程序,使用我们的用户名/密码验证系统并使用Azure AD(OAuth 2.0流程)提供登录。当用户使用Azure AD登录时,我们可以使用https://graph.windows.net/ {tenantid} / me来获取用户的个人资料。但是,我们希望使用memberOf或getMemberGroups操作获取更多信息,以检索租户目录中的用户组,以将特定组从租户映射到应用程序中的组织结构。但是,这些操作始终会因Forbidden状态代码而失败。我们是否缺少必需的权限,或者是否无法查询其他租户的组和角色。
提前致谢
答案 0 :(得分:2)
这完全有可能,但今天要求您申请“读取目录”权限。此许可确实要求租户同意并由管理员同意。我们正在考虑为Graph API添加一些额外的细粒度权限,以允许用户同意(获取组成员身份信息)。
另一个选项是将应用程序配置为请求组成员身份声明(应出现在任何用户或JWT令牌中)。您可以通过访问azure管理门户并进入应用程序的配置页面来完成此操作。从那里下载应用程序清单文件并更新groupMembershipClaims属性。您可以在此处描述的应用程序清单中看到大多数属性:https://msdn.microsoft.com/en-us/library/azure/dn151677.aspx。更新后,您可以上传此应用清单文件,这将相应地配置您的应用程序。完成后,AAD将在令牌中发出组成员身份声明。 Dushyant撰写了一篇关于授权访问Web应用程序,使用组成员资格声明或应用程序角色的精彩博客。您可以在此处通过Alex Simons博客文章找到它:http://blogs.technet.com/b/ad/archive/2014/12/18/azure-active-directory-now-with-group-claims-and-application-roles.aspx
HTHs