我们在Azure AAD中有一个多租户多层场景,其中客户端应用程序调用多个Web API。这些WebAPI反过来调用其他WebAPI。 每次我们添加一个新的API依赖项时,我们都会看到来自应用程序租赁以外的用户无法登录。我们看到以下错误
AADSTS65005:该应用需要访问服务......
我的问题是关于多租户的最佳做法或指导是什么。每次添加新依赖项时,我们是否需要提供管理员同意
答案 0 :(得分:0)
问题是您要向Application对象添加新的权限要求。许可授权不会自动在服务主体上创建,它始终需要同意。您可以非常轻松地在单租户方案中授予此权限,但多租户更难。
因为在以前无法读取所有用户邮箱的情况下我只能添加权限是没有意义的,唯一的选择是再次为每个租户运行管理员同意。
v2端点允许您以更简单的方式处理此问题,因为它允许动态/增量同意,您可以从客户端指定新范围。尽管如此,您还是必须向用户提供一些通知,告知他们在管理员同意之前不能使用新功能。