现在,我只请求用户成功验证SaaS应用程序所需的权限。这些是授权权限。
我现在想知道如何处理新守护程序集成的权限,该守护程序将从Graph请求不同的数据并需要应用程序权限。到目前为止,我看到了这些替代方法:
还有更多选择吗?其他人如何处理这种情况?
我预见将来会有更多需要不同权限的守护进程,这使得替代方法1)似乎没有吸引力。另一方面,如果我沿着2)路线走,我可以设想从任何地方的AD管理员回退,并要求各种不适用于该组织功能集的权限。
答案 0 :(得分:1)
最佳做法将要求您为每个应用程序/守护程序单独注册一个应用程序。话虽如此,如果您不想这样做,则可以在两个选项之间做一些事情,为所有守护程序进行第二次应用程序注册,并制作一个简单的SPA,仅用于登录以表示同意该应用程序注册,即与saas应用程序注册分开。 不过,我绝对会避免在列表中使用选项2,因为从技术上来说,saas应用程序将能够访问守护程序权限所具有的所有相同内容,这可能会带来很大的安全风险。