【发布时间】:2019-05-11 03:32:01
【问题描述】:
假设我是一名 Azure AD 管理员,他想要控制哪些用户可以访问在我的租户中创建的某个应用程序(该应用程序是本地的)。
当我读到here 时:
在 Azure Active Directory (Azure AD) 租户中注册的应用程序 默认情况下,租户的所有进行身份验证的用户都可以使用 成功。
我倾向于相信我不需要做任何特别的事情,但事实并非如此。
我做了什么?
我做的第一件事是禁用租户中的用户同意第 3 方应用程序的能力。为此,我转到“企业应用程序”,然后转到“用户设置”并关闭同意设置,如下所示。
我认为这是为了确保我的租户中的用户无法访问任何随机的第 3 方应用程序。
接下来,我在 Azure AD 中创建了一个应用程序。该应用程序显示在“企业应用程序”列表中。
我选择我刚刚创建的应用程序并转到“属性”并将“需要用户分配”设置为是,如下所示。
在此之后,我进入“概述”并向用户(在本例中为 Gaurav)授予显式权限,如下所示。
我还可以看到已授予两个用户访问该应用程序的权限。
预期行为
完成所有这些设置后,我希望这个用户 (Gaurav) 应该能够登录到应用程序。
实际行为(我面临的问题)
但是,当此用户尝试连接到此应用程序时,它不起作用,因为用户会收到需要管理员同意的消息。
我可以做些什么来避免我面临的问题?我很确定一定有一些我忽略的设置。
请注意:
- 我创建的应用程序是我正在管理的租户的本地应用程序。
- 这是一个本机应用程序,默认情况下是多租户的,但是我更改了应用程序的清单并使其成为单租户。
- 作为管理员,我不想给予“管理员同意”,因为我的理解是,如果我这样做,所有用户都可以访问该应用程序,而我只希望某些用户可以访问该应用程序。此外,作为管理员,我并不想登录该应用程序。
【问题讨论】:
标签: azure azure-active-directory