【发布时间】:2017-04-11 14:31:12
【问题描述】:
在多租户环境中使用 Azure Active Directory。
管理员已同意所有用户登录的应用程序。
已限制用户同意。
在管理员同意后,用户仍然无法登录并收到“AADSTS90093:无权获得同意”。错误。
【问题讨论】:
标签: azure azure-active-directory
【发布时间】:2017-04-11 14:31:12
【问题描述】:
您获得管理员同意的方式可能是错误的,或者您没有登录管理员帐户。尝试以下两种方法之一:
在Azure Portal 中,登录管理员帐户,转到应用注册边栏选项卡,选择您的应用,然后点击授予权限按钮。
构造一个新的身份验证请求并附加到
&prompt=admin_consent。
当您的应用请求admin-restricted scope 时会导致此错误。这些范围需要管理员代表其用户同意。
【讨论】:
-
这个应用程序只需要 user.read 并且不需要任何管理员限制的范围。其他租户的用户可以访问该站点。只有在租户管理员限制个别用户同意我们看到此问题的情况下。
-
确保您使用答案中的步骤之一正确 admin_consent。只需以管理员身份正常登录应用并同意即表示该用户同意。
-
此应用已在应用 2.0 中注册。我不认为 &prompt=admin_consent 适合它。此信息也不会显示在刀片中。