Graph API权限,用于在Azure AD中创建组
Group.ReadWrite.All是图形API权限,这是服务主体允许在Azure AD中创建组所必需的。但是,它将允许SPN修改/删除目录中的任何组。
请帮助我们知道如何限制范围,以便服务主体仅应修改其最初创建的组。
2 个答案:
答案 0 :(得分:1)
尝试将Service Principal设置为您创建的组的owner,以便您的服务主体可以在没有任何权限的情况下修改/删除您创建的组,但是不能修改/删除其他组(记得删除Group.ReadWrite. All权限)。
答案 1 :(得分:0)
不幸的是,我不认为这是可能的,因为服务主体没有这样的权限只能访问其创建的组。如果这是绝对必要的,那么我想到可以将编辑限制到其拥有的组的唯一方法就是不使用客户端凭据流,而基本上要创建一个服务帐户(常规用户),请使用ROPC流(https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth-ropc)为group.readwrite.all添加委派权限。那么该应用将使用该用户,该用户仅具有创建组和编辑其拥有的组的权限。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?