如何解决我是否需要单独的应用程序ID与每个客户的Azure Active Directory集成?
我正在处理SaaS应用程序,我们正在与许多客户一起通过OpenID Connect为他们提供单点登录体验。我们的许多客户都使用(Azure)Active Directory。
我已经在自己的Azure帐户(在“ Microsoft_AAD_RegisteredApps”刀片中)为我们的应用程序注册了“应用程序ID”,并且具有客户端ID和密码。我已经为“普通”租户配置了应用程序,显然是为了:
任何组织目录中的帐户(任何Azure AD目录-Multitenant)和 个人Microsoft帐户(例如Skype,Xbox)
所有拥有工作或学校或个人Microsoft帐户的用户都可以使用您的应用程序或 API。这包括Office 365订阅者
但是,当我们的一位客户尝试测试版本时,他们收到了错误消息:
需要管理员批准
$ OUR_APP需要授权才能访问您组织的资源,并且 此访问权限只能由管理员授权。
当我联系他们的IT部门时,他们给了我一个不同的应用程序ID和客户机密,他们显然已经在目录中注册了。这可行,但是 从长远来看,似乎将需要大量注册。
每个客户都需要这样做吗?还是可以要求客户批准我们现有的应用程序ID?什么是“正常”过程?
解决方法
如果您使用的是“公共”端点,则不需要单独的应用程序ID,并且单个应用程序支持多租户。发生此错误是因为用户没有使用此应用程序的权限。
允许用户访问应用程序的最简单方法是允许用户访问Enterprise应用程序。在管理门户中,转到Admin Centers > Azure AD > Users and Groups > User Settings
,然后确保“ 用户可以同意应用程序代表他们访问公司数据”已启用。
如果此选项设置为是,则非管理员用户可以注册自定义开发的应用程序以在此目录中使用。如果将此选项设置为“否”,则只有具有管理员角色的用户才能注册这些类型的应用程序。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。