Azure AD 的可选应用程序权限

Question

现在我只请求了用户成功通过 SaaS 应用程序进行身份验证所需的权限。这些是委派的权限。

我现在想知道如何处理新的守护程序集成的权限，它将从 Graph 请求不同的数据并需要 应用程序权限。到目前为止，我看到了这些替代方案：

1. 我创建了一个代表集成的新应用程序，如果客户想要启用此功能，他们将通过管理员同意流程并授予所需的应用程序权限。
2. 我为主应用设置了“可选权限”，并告诉客户，如果他们不使用此特定功能，则可以撤销此权限和那个权限。

还有其他选择吗？其他人如何处理这种情况？

我预见未来会有更多的守护进程需要不同的权限，这使得备选方案 1) 看起来很没有吸引力。另一方面，我可以设想，如果我走 2) 路线并要求各种不适用于该组织功能集的权限，那么所有地方的 AD 管理员都会反击。

Answer 1

最佳实践要求您为每个应用程序/守护程序单独注册一个应用程序。话虽如此，如果您不想这样做，您可以在您的两个选项之间做一些事情，为所有守护程序进行第二次应用注册，并制作一个简单的 SPA 以登录以同意该应用注册，即与 saas 应用程序注册分开。 不过，我肯定会避免在您的列表中使用选项 2，因为这样 saas 应用程序在技术上将能够访问您的守护程序权限所拥有的所有相同的东西，这可能是一个很大的安全风险。