关闭pages like this,我有一个"服务/守护进程"使用O365邮件REST API的测试应用程序:我同意该应用程序,通过X.509签名的客户端断言授予仅限应用程序令牌,我可以从任意邮箱读取信息。它很棒。
但我们的应用程序将在其私人计算机上为各种客户端安装 - 因此它就像一个本机应用程序,但我们需要全局权限,只需要应用程序令牌(这就是为什么我们不是&# 39; ta native app)。
由于只根据我们的应用凭据授予访问令牌,我认为他们不会为我们工作:客户A只需使用应用凭据即可获得客户B私人数据的访问令牌Azure AD租户ID。
是否有任何方法可以生成仅限应用令牌的客户端密码并限制对此租户ID的调用"?然后我可以为每个客户制作一个密钥。
或者,如果证书可以限制在特定的租户ID,我们可以为每个客户单独制作证书。
让每个客户定义自己的应用程序并不是一个现实的选择,因为它太复杂了,需要生成证书,编辑清单等等。
也许有一种后门方式可以通过“原生应用”获得仅限应用的全局访问权限。建筑?例如。如果我们的客户拥有管理员帐户,我们是否可以使用“原生应用”进行身份验证?为该一个管理员用户授予样式oauth授权,并访问所有用户'通过该帐户的权限发送电子邮件?