Microsoft Graph API多租户仅应用身份验证方案
Microsoft Graph API提供了App-only authentication scheme,它非常适合拥有应用程序的租户。
我有一个Azure租户,我根据文档指南在其中创建了应用程序。我的应用程序现在可以使用https://login.microsoftonline.com/<tenantId>/oauth2/token端点获取访问令牌,这允许我查询租户内部用户的Graph API。
但是,我希望我的应用程序也能够获得其他租户的访问令牌。我认为外部租户所有者应该以某种方式将我的应用程序插入到他们的Azure租户中,应用某些仅限应用程序的作用域,并向我提供租户id,以便查询令牌端点。
是否可以对仅应用身份验证方案使用多租户?租户所有者如何将我的应用程序插入其Azure租户?
回答 1
Stack Overflow用户
发布于 2016-08-31 04:34:23
仅应用程序的多租户是可能的,但是,为了实现这一点,您需要两件事:
- 你需要有一个web用户界面,让租户管理员登录并执行管理员同意,以便像你所说的那样,将我的应用程序插入到他们的Azure租户中。确保添加了查询字符串参数&prompt=admin_consent.
有关管理员同意的更多信息,请访问:https://azure.microsoft.com/en-us/documentation/articles/active-directory-devhowto-multi-tenant-overview/#understanding-user-and-admin-consent
通过管理员同意让用户“注册”应用程序的示例控制器方法:https://github.com/Azure-Samples/active-directory-dotnet-webapp-webapi-multitenant-openidconnect/blob/master/TodoListWebApp/Controllers/OnboardingController.cs#L33-L58
- 您将需要跟踪哪些租户同意您的应用程序,以便您可以启用为他们运行仅限应用程序的流程的代码。与委派流不同,您不能使用公共终结点(https://login.microsoftonline.com/common),而是需要将租户特定的终结点用于仅限应用程序流的每个实例或运行。
https://stackoverflow.com/questions/39166136
复制
腾讯云开发者
