似乎在AAD中有两种单独的机制来定义应用程序范围:通过清单更新的appRoles和通过“应用程序注册”的“暴露API”选项卡的oauth2Permissions。第一个是唯一一个允许应用程序范围的应用程序(allowedMemberType:Application)-“应用程序注册”中的“ API权限”选项卡似乎仅允许委派用户权限。我的解释正确吗?似乎很令人困惑。
答案 0 :(得分:0)
appRoles
我们可以通过清单定义用户角色和应用程序角色。我们可以在应用程序权限下看到应用程序角色。客户端证书流使用应用程序许可。
我们在委派的用户权限下找不到用户角色,因为此处未使用这些角色。在企业应用选项卡下将角色分配给特定用户,开发人员需要为不同角色授予不同的逻辑代码。
通过应用程序注册的oauth2Permissions
我们只能在此处添加委派权限。并且此权限适用于所有用户,而不是特定用户。用户登录后,将要求他们同意权限。
答案 1 :(得分:0)
您会想到oauth2Permissions,它是OAuth2Permission实体的集合,用于为Web API定义delegated permissions。
开发自己的组织API时,必须在Exposed API tab下添加此scope
有关更多信息,您可以参考此docs
另一方面,在这种情况下,当您要访问Microsoft APIs时,必须在API permissions tab上进行分配。
API permissions同时公开delegated和application权限,这取决于您的应用程序需要哪种权限。
有关更多详细信息,您可以参考此official docs