0

我的场景:

  • 我希望用户能够与守护程序应用程序共享他们的一些日历。
  • 我想要守护程序应用程序。仅对这些共享日历具有读写访问权限。

这个想法是用户可以简单地通过创建一个日历并与守护程序共享它然后取消共享它以选择退出来“选择加入”服务。我想避免让管理人员来管理权限。我还想避免制作一些程序来管理权限。共享部分使我的守护进程很容易找到它必须使用的日历。

我的解决方案:

  1. 使用电子邮件和日历创建服务帐户。用户与此帐户共享他们想要的日历。
  2. 创建具有日历和电子邮件权限的应用程序帐户。
  3. 创建具有电子邮件访问权限的安全组并将服务帐户添加到该组。
  4. 使用New-ApplicationAccessPolicy PowerShell cmdlet将应用程序限制为只能访问安全组。

问题是这个 cmdlet 似乎不理解共享日历。在支持的权限和其他资源列表中,它没有提到共享日历。(我会尽快尝试,但我怀疑它会失败)

有没有办法绕过这个限制?这个问题似乎与应用程序的其他问题相似。应该“充当”特定用户,而其他答案通常是“做不到”。

新的ApplicationAccessPolicy 文档

Mail-Enabled-Security-Group 文档

解决方案必须使用 Java。

4

1 回答 1

0

New-ApplicationAccessPolicy 旨在限制仅应用程序访问特定邮箱。

在您的方案中,您应该能够在服务帐户的上下文中使用委派权限,该服务帐户已经在它可以读取的邮箱中受到限制。

设备代码流应该可以工作。或使用 KeyVault(或等效项)来存储服务帐户的凭据并使用 ROPC 流。

于 2019-10-25T18:30:24.150 回答