如何解决在守护程序应用程序中使用 MS Graph 需要 Azure AD 中的应用程序类型权限
examples from here 需要应用程序类型权限,这意味着此类应用程序将有权访问租户中的所有邮箱。这基本上意味着它不能只是任何租户,因为在正常情况下,访问所有邮箱是禁忌。
也就是说,它似乎只对租户实用,它们只专门处理某些邮件,不包含任何普通个人的邮件。
问题:是否有任何方法可以运行仅为应用配置委派权限的守护进程?这似乎可以解决困境。
解决方法
一种方法是使用应用程序访问策略限制 Exchange Online 中守护程序应用程序的权限:https://docs.microsoft.com/en-us/graph/auth-limit-mailbox-access。
另一种更复杂的方法是通过刷新令牌使用委托权限。 其过程如下所示:
- 想要授予应用访问权限以从其邮箱发送电子邮件的用户登录应用(您需要某种前端)
- 应用接收 ID 令牌、访问令牌和刷新令牌
- ID 令牌告诉应用用户是谁,因此他们可以从那里获取例如用户唯一的不可变 ID(oid 声明)以识别授予访问权限的用户
- 此处不需要访问令牌,因此应用程序可以将其丢弃
- 另一方面,刷新令牌存储在秘密存储中
- 守护程序应用程序想要发送电子邮件,因此它从秘密存储区获取刷新令牌
- 使用刷新令牌从 Azure AD 获取新的访问令牌和刷新令牌
- 新的刷新令牌存储在秘密存储中以替换现有的
- 守护程序应用使用访问令牌以用户身份发送电子邮件
守护程序应用程序需要为刷新令牌不起作用的不可避免的情况做好准备。 它可能因各种原因过期。 在这种情况下,需要为该用户重复第一步。
如果不使用,刷新令牌也可能会过期,尽管这可能在最近发生了变化。 过去,我们制定了一个流程,以确保每个刷新令牌至少每周用于获取一次新令牌以保持新鲜。
因此,您可以看到具有应用程序权限的守护程序应用程序方法更简单、更强大(只需确保机密/证书不会过期)。 另一方面,具有委托权限的方法从根本上更安全,因为您无法获得比用户拥有的更多的访问权限。 个人用户也可以撤销同意。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。