到目前为止,我的应用程序的用户正在使用MSA帐户(我的应用程序已注册为Azure AD V2应用程序)现在,我希望其他AD租户的用户使用该公司帐户来访问我的应用程序。例如:jon@dell.com
问题在于,当他们尝试登录时,他们会收到错误消息-“ 应用需要访问您组织中只有管理员才能授予的资源的权限... ”和标准error code: AADSTS90094。因此在我看来,dell的某些IT管理员需要授予权限,而我的控制权却没有。
问题是来自其他租户的这200多个用户不是新用户,并且已经在访问另一个已注册为V1应用程序的旧应用程序。现在,由于我们要将旧版APP与基于V2的APP进行合并,因此我们希望为所有这些用户提供无缝的登录体验,因为向所有用户发送通信并要求他们实施此更改作为前提条件肯定不会很顺利过程。
一个建议是将我的APP从V2降级到V1以解决此问题。这是唯一的解决方法吗?由于我很难理解我的APP(V1或V2)如何确定其他租户的安全/权限策略,因此这是否是合理的解决方案?
此外,我配置的范围是openid email user.read user.readbasic.all,实际上它们都不需要管理员同意,为什么还要提示管理员同意?
我正在为此寻求一些专家建议和帮助,因为目前这已成为障碍。在此先感谢!