我有一个关于 Azure AD 中多租户应用注册的问题。用户第一次通过应用程序登录时,它会要求他同意在必要时访问他的一些数据,或者要求管理员授予租户级别的同意。这样就好了。
我想知道是否对应用注册进行了更改(例如修改了注销 URL),是否有可能从未使用过应用注册的用户已经需要授予他们的同意,或者租户管理员可能需要给予他又同意了吗?
问候
答案 0 :(得分:1)
更改重定向 URL 或注销 URL 不会导致再次提示同意。
更改配置的权限也不会导致已经授予同意的用户必须再次授予同意(但应用将只拥有最初授予的权限)。
仅在以下情况下才会提示用户同意:
scope=https://graph.microsoft.com/Mail.Read,如果 Mail.Read 尚未授予。scope=https://graph.microsoft.com/.default 并且没有授予 Microsoft Graph 的委派权限,则会提示用户同意(对于在应用程序注册中配置的所有权限)。如果已授予对请求资源的任何权限,则不会提示用户同意。prompt=consent 强制用户同意。不要这样做 - 几乎没有必要这样做。 (在 https://stackoverflow.com/a/60151790/325697. 上阅读更多相关信息)答案 1 :(得分:0)
是的。如果你修改了redirect url、permissions、logout url等属性,你必须让其他租户的管理员做管理员同意再次使其有效。
使用 admin consent url 是最快的方法:
https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}