3

我在对具有活动角色的 API 进行 Azure AD 授权时遇到了一些问题。这是我的步骤:

  1. 我创建了一个 Azure AD 应用程序并激活了“需要用户分配”选项
  2. 在清单中,我创建了角色
  3. 在我的 WebApp 中,我使用了 ADAL,我分配的用户可以登录。一切正常

我的问题:现在我有另一个 API/Batch 应该“登录”到我的 AD-App。我想很容易 -> 我创建了一个密钥,我的请求参数如下所示:

登录 URL:https ://login.microsoftonline.com/MyTenantID

ClientID:AD-App 的 myAppID

密钥:我的密钥

ResourceID:AD-App 的 MyAppID

-> 错误:应用程序“xxx”未分配给...的角色

那么我做错了什么?如何分配APP“自行”登录?

4

1 回答 1

1

作为需要用户分配的选项,如下所示:

如果此选项设置为 yes,则必须先将用户分配给此应用程序,然后才能访问它。如果此选项设置为 no,则导航到该应用程序的任何用户都将被授予访问权限。此选项仅在应用程序配置为以下登录模式时启用:基于 SAML 的 SSO 或带有 Azure AD 身份验证的 WIA。

那么我做错了什么?如何分配APP“自行”登录?

根据您的描述,我假设您在没有用户交互的情况下使用服务到服务客户端凭据授予流程。对于您的场景,您需要为应用程序成员定义应用程序角色,您可以遵循此类似问题的详细信息。

此外,您可以参考我的测试步骤如下:

定义应用程序角色:

在此处输入图像描述

创建另一个 AAD 应用并配置访问另一个 AAD 应用所需的权限:

在此处输入图像描述

获取令牌:

在此处输入图像描述

于 2018-06-08T04:50:48.557 回答