我在组织的Web API访问控制中使用的是Azure Active Directory,客户端凭据流。
我在AD中注册了以下应用程序: 后端应用 客户1 client2
现在,即使我没有在Client1中授予对backend-api的委派访问权限,客户端1也能够为资源“ backend-app”获取令牌。无论如何,我可以避免这种情况的发生吗?我不希望未明确授予委派访问权限的客户端能够获取令牌。
此流程在本机应用程序中工作正常,其中AAD抛出错误,指示client1没有后端应用程序所需的权限。
答案 0 :(得分:1)
在企业应用程序-应用程序名称-属性下,有一个设置需要用户分配吗?设置此选项将仅允许明确分配的用户访问应用程序。
从Azure门户的信息框中获取:
如果将此选项设置为“是”,则必须先将用户分配给该应用程序,然后才能对其进行访问。
有关Assign users and groups to an application in Azure Active Directory的更多信息