客户端应用程序使用管理员角色调用受 Azure AD 保护的 Api
我有点困惑,我有以下实现:
ASP.net API 使用 Azure AD 进行保护,具有 Admin role 权限的用户只能调用此 API,这些角色在 Azure AD 中配置并分配给用户。 API 有一个定义的范围 AccessApi。
Scopes Who can consent Admin consent display name User consent display name State
api://xx User AccessApi AccessApi Enable
在 WebAssembly blazor 中开发的客户端应用程序在没有角色的 Azure AD 中注册和保护,其配置为使用我的 Api 中的 AccessApi 范围。
API / Permissions name Type Description Admin consent required Status
myApi (1)
AccessApi Delegated AccessApi No
我的困惑是我是否需要为客户端应用程序分配一个管理员角色来获取将用于访问 API 的令牌或 API 范围 accessApi 没有任何角色就足够了?
知道客户端应用程序的用户是 API 的相同用户,只是角色不同。
由于相同的用户同时使用 API 和客户端应用程序,是否可以通过客户端应用程序使用 MS Graph 获取 JWT 令牌并使用该令牌调用 API?
1 个答案:
答案 0 :(得分:1)
如果你想根据角色来控制用户对api的访问,那么你可以使用appRole。设置应用的appRole,然后将appRole分配给用户,那么只有分配了appRole的用户才能访问api。
接下来,转到企业应用程序并将 appRole 分配给用户。
另外,千万不要尝试使用ms graph api的token来调用你自定义的api。这是两个完全不同的api资源,不同的api资源需要申请不同的token!
相关问题
- 使用Web应用程序客户端访问受Azure AD保护的Web API
- 使用角色保护管理员
- Azure AD应用程序角色授权:租户管理员委派
- Azure客户端应用程序访问由AD保护的Azure API
- 如何为Azure AD用户管理Azure AD应用程序角色
- 应用程序管理员AD角色未提供正确的权限
- 通过Azure AD使用客户端凭据保护API
- 将 Javascript 客户端应用程序与 MSAL.js 结合使用时,如何在受保护 API 的访问令牌中获取应用程序角色声明(角色)
- WebAssembly Razor 客户端应用程序在使用管理员角色调用 Azure 中受保护的 API 时返回 401
- 客户端应用程序使用管理员角色调用受 Azure AD 保护的 Api
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?