【问题标题】:How an Azure AD Administrator can grant permission to a local app to certain users without giving admin consent?Azure AD 管理员如何在不征得管理员同意的情况下向某些用户授予本地应用程序的权限?
【发布时间】:2019-05-11 03:32:01
【问题描述】:

假设我是一名 Azure AD 管理员,他想要控制哪些用户可以访问在我的租户中创建的某个应用程序(该应用程序是本地的)。

当我读到here 时:

在 Azure Active Directory (Azure AD) 租户中注册的应用程序 默认情况下,租户的所有进行身份验证的用户都可以使用 成功。

我倾向于相信我不需要做任何特别的事情,但事实并非如此。

我做了什么?

我做的第一件事是禁用租户中的用户同意第 3 方应用程序的能力。为此,我转到“企业应用程序”,然后转到“用户设置”并关闭同意设置,如下所示。

我认为这是为了确保我的租户中的用户无法访问任何随机的第 3 方应用程序。

接下来,我在 Azure AD 中创建了一个应用程序。该应用程序显示在“企业应用程序”列表中。

我选择我刚刚创建的应用程序并转到“属性”并将“需要用户分配”设置为是,如下所示。

在此之后,我进入“概述”并向用户(在本例中为 Gaurav)授予显式权限,如下所示。

我还可以看到已授予两个用户访问该应用程序的权限。

预期行为

完成所有这些设置后,我希望这个用户 (Gaurav) 应该能够登录到应用程序。

实际行为(我面临的问题)

但是,当此用户尝试连接到此应用程序时,它不起作用,因为用户会收到需要管理员同意的消息。

我可以做些什么来避免我面临的问题?我很确定一定有一些我忽略的设置。

请注意:

  • 我创建的应用程序是我正在管理的租户的本地应用程序。
  • 这是一个本机应用程序,默认情况下是多租户的,但是我更改了应用程序的清单并使其成为单租户。
  • 作为管理员,我不想给予“管理员同意”,因为我的理解是,如果我这样做,所有用户都可以访问该应用程序,而我只希望某些用户可以访问该应用程序。此外,作为管理员,我并不想登录该应用程序。

【问题讨论】:

    标签: azure azure-active-directory


    【解决方案1】:

    即使您征得管理员同意,也只有您分配的用户才有访问权限。 因为你有任务需要。

    管理员同意意味着不会要求用户同意应用所需的权限。

    【讨论】:

    • 感谢您的回答。但是我看到的是用户甚至没有获得同意屏幕。他们看到的是i.stack.imgur.com/fqsvx.png。我的要求是,一旦为用户分配了一个应用程序,他们应该能够在没有管理员明确同意的情况下访问它。这可能吗?
    • 您的应用在所需权限部分具有需要管理员同意的权限,您无法解决此问题
    • 不,我没有。此应用程序要求的权限是:1) 登录并读取用户配置文件和 2) 访问 Azure 服务管理 API。 AFAIK,他们两个都不需要管理员同意。
    • 嗯,您的租户中是否禁用了用户同意?
    • 有趣!你能告诉我在哪里可以在 Azure 门户上查看吗?我已禁用用户同意,但这是针对 3rd 方应用程序 (i.stack.imgur.com/ltL1n.png)。这不应该对同意在同一租户中创建的应用程序产生影响。对吗?
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2017-08-15
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-01-17
    • 2015-06-19
    • 1970-01-01
    相关资源
    最近更新 更多