[英]Azure app incorrectly requesting admin consent?
我希望有人對我在 Microsoft 的 Azure 門戶 ( portal.azure.com ) 中新注冊的應用程序遇到的問題有所了解。
當我收到以下對話框時,我的登錄問題
錯誤代碼和信息出現在右下角;
AADSTS90094:此操作只能由管理員執行。 注銷並以管理員身份登錄或聯系您組織的管理員之一。
配置的角度來看,我相信我有這個設置不要求管理員同意,但有可能我丟失的東西。
我的應用程序配置為;
ID 令牌,單租戶(Web)應用程序
無管理員權限的委派用戶同意權限
對於企業應用,配置設置為;
Yes
Yes
Yes
Default Access
角色的用戶No
(因為他們已分配) 最后,在企業應用程序下的 azure 目錄中- 用戶設置配置我已將公司數據用戶同意設置為Yes
當我導航到我的應用程序 URL 或從myapps.microsoft.com
的應用程序時,兩者都會給我上面的對話框,請求管理員同意。
如果不需要,我不想授予管理員同意,因為這似乎有點像使用大錘來解決問題。
我覺得我要么錯過了一些重要的事情,要么做了一些愚蠢的事情 - 請幫忙,如果我能提供更多信息,請告訴我。
編輯 1.1:
我的身份驗證請求 URL 是: https://login.microsoftonline.com/<tenantid>/oauth2/v2.0/authorize?client_id=<clientid>&redirect_uri=<redirecturi>&response_mode=form_post&response_type=code id_token&scope=openid email profile offline_access User.Read User.ReadBasic.All Mail.ReadWrite&state=OpenIdConnect.AuthenticationProperties=<gibberish>&nonce=<gibberish>&x-client-SKU=ID_NET461&x-client-ver=5.4.0.0
(我使用 ASP.NET MVC 結合 Microsoft 的 OpenId Connect 身份驗證庫)
當用戶同意不需要分配的應用程序(在允許用戶同意的租戶中,並且對於僅請求不需要管理員同意的權限的應用程序)時,會發生兩件事:
第二步可能看起來令人驚訝,但它的作用很簡單:它確保用戶在 Azure AD 訪問面板 ( https://myapps.microsoft.com ) 中看到他們已同意的應用程序。 (Azure AD 訪問面板將向用戶顯示他們分配給的所有應用。)
如果用戶可以通過觸發用戶同意來分配自己,這將違背“需要用戶分配”控制的目的。 因此,目前,當應用程序設置為需要用戶分配時,根本不允許用戶同意該應用程序。
今天,你有兩個選擇:
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.