我正在开发一个Azure多租户应用程序,该应用程序使用Microsoft Graph API和Windows Azure Active Directory资源中的作用域。我们正在使用 v1 OpenID身份验证代码流。
最近我们向Microsoft Graph API添加了一些请求的范围,我们在prompt=admin_consent
交换机上使用resource=https://graph.microsoft.com
和/common/oauth2/token
提示用户重新提交。
当提示用户再次接受范围时,您可以看到新请求的范围,并且呼叫似乎成功完成,我们收到新的access_token
。
但是,响应中返回的范围和嵌入式JWT对范围的声明仅列出了请求范围的一小部分,它们似乎也只来自其中一个资源(Windows Azure Active Directory)。
我们正在接收新范围的403s,因此我认为这不是正确填充这些范围字段的问题。
有谁知道为什么auth流不会返回带有新请求范围的令牌?
以下列出了我要求的范围:
Windows Azure Active Directory
Microsoft Graph
谢谢!