【发布时间】:2021-06-12 00:01:20
【问题描述】:
我正在开发托管在 azure 中的 asp.net core .net 5 Web 应用,我想为我们的客户提供 SSO 体验。
作为参考,我以 https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/tree/master/2-WebApp-graph-user/2-3-Multi-Tenant 中的示例为例,其中 AAD 管理员为 AAD 中的所有用户授予应用程序权限。
该示例使用此处描述的管理员同意 URL:https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-admin-consent#request-the-permissions-from-a-directory-admin
就我而言,我只想让用户使用他们的公司帐户登录并在登录后阅读他们的电子邮件(没有其他个人资料数据)。所以我认为请求范围“openid”和“email”就足够了。但不管我提供什么范围值,呈现给管理员的对话框会显示其他权限请求(看起来像“profile”和“offline_access”(?)):
我这样构建网址:
var state = Guid.NewGuid().ToString();
var currentUri = UriHelper.BuildAbsolute(
httpContext.Request.Scheme,
httpContext.Request.Host,
httpContext.Request.PathBase);
var authorizationRequest = string.Format(
"https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id={0}&scope={1}&redirect_uri={2}&state={3}",
Uri.EscapeDataString(this.microsoftIdentityOptions.ClientId),
Uri.EscapeDataString("openid email"),
Uri.EscapeDataString(currentUri + "tenant/processcode"),
Uri.EscapeDataString(state));
有趣的是,如果管理员授予对应用程序的访问权限,并且如果我检查 AAD 中“企业应用程序”的权限,我会看到我最初想要的“电子邮件”和“openid”权限:
但这让 AAD 管理员非常困惑,我真的很想呈现一个与我的权限请求匹配的对话框。
【问题讨论】:
-
离线访问权限可能意味着您正在获取刷新令牌。个人资料看起来有点奇怪 - 即使您只请求 ID 令牌中的电子邮件,它也似乎表示同意个人资料。我认为你应该向微软寻求支持。
标签: c# azure openid-connect microsoft-identity-web