AAD应用程序权限问题

时间:2017-02-06 14:56:52

标签: azure azure-active-directory

我已添加Azure AD应用程序并删除了azure门户中的所有所需权限

enter image description here

但是,应用程序仍然可以访问GraphAPI 。如果我转到企业应用程序选项卡,选择应用程序并转到权限,我可以看到读取目录数据权限:

enter image description here

为什么权限仍然存在 - 即使我删除了它?它可能不是一个时间问题,因为我删除了大约一个小时的许可。我还使用新的浏览器会话登录....

1 个答案:

答案 0 :(得分:1)

即使已从应用程序中删除了权限,似乎该权限仍在服务主体上。 (企业应用程序=服务主体,应用程序注册=应用程序)

请记住,应用程序只是服务主体的模板。服务主体获得API的权限,应用程序永远不会。

我会通过Graph API手动更新服务主体,或者删除它并完全重新创建它。似乎同步它们会出错。通常,它应该在同一租户,多租户应用程序中同步服务主体。其他租户的服务负责人不同步。

编辑:由于它是Microsoft Graph上的应用程序权限,因此您必须删除为服务主体创建的appRoleAssignment。 (如果是Azure AD Graph API,它将是角色目录读者的成员)

你应该可以从以下地方看到这些:

  

https://graph.windows.net/tenant-id/servicePrincipals/object-id/appRoleAssignments?api-version=1.6

(Azure AD Graph API Explorer现在不适合我...)

找到后,您可以通过在

上运行HTTP DELETE来删除它
  

https://graph.windows.net/tenant-id/servicePrincipals/object-id/appRoleAssignments/assignment-object-id?api-version=1.6

如果是委派权限,则必须删除 oauth2PermissionGrant

您可以通过

找到它
  

https://graph.windows.net/tenant-id/servicePrincipals/object-id/oauth2PermissionGrants?api-version=1.6

相关问题
最新问题