我有一个 Azure Active Directory 应用程序(和关联的服务主体)。该服务主体需要能够在 Azure Active Directory 组中添加和删除成员......所以我在应用程序权限下添加了读取和写入目录数据:
我有代码使用客户端 ID 和客户端密钥来获取身份验证令牌并使用 Azure Graph API 执行这些操作。
但是,这种许可范围太广了。我需要应用程序/服务主体只能从特定组(不是全部)添加和删除成员......而不是执行其他类型的操作的能力。
有没有办法做到这一点?
谢谢你。
有一个部分符合您要求的预览功能:“Group.ReadWrite.All”。它允许您的委托人创建和更新组及其导航属性(包括成员)。但是,它不会减少仅修改某些组的权限。
AAD 权限范围在此处描述:https ://msdn.microsoft.com/Library/Azure/Ad/Graph/howto/azure-ad-graph-api-permission-scopes
预览功能可能会发生变化,您必须同意减少服务条款等:https ://azure.microsoft.com/en-us/services/preview/