【发布时间】:2020-10-12 21:53:56
【问题描述】:
有人可以向我解释 azure 管理员同意流程,因为它没有很好地记录,我无法阅读和理解或其他原因。
我有一个在家庭租户中使用 Web api 的 Web 应用程序 web api 是对 web 应用程序的权限 Web api 将 Web 应用客户端 ID 作为 knownclientapplication
如果我在需要 web api 范围的 web 应用程序上以家庭租户管理员身份登录,一切都会按预期工作: 我看到了一个管理员同意对话框,包括 web api 我同意,一切都很好
如果我在要求 web api 范围的 web 应用程序上以客户端租户身份登录 - 使用“/common”租户,事情就不那么好了: 我看到了一个管理员同意对话框,不包括 web api 当我同意时,注册以 AADSTS650051 结束,说明我无权访问资源
这对我来说很有意义,因为 web api 在客户租户中没有服务主体,因此无法访问它,但是当我阅读文档时建议它应该以这种方式工作。这些术语对我来说开始变得模糊,因为它们有点模棱两可,我不确定我应该做什么。 source
如果我先登录 web api,我可以让它工作,因为它将创建服务主体 然后我可以登录到现在可以访问服务主体的网络应用程序
但是文档在多层单租户中并没有真正解释这一点,而是在多层多租户中提出了这一点
我已经读了很多遍了,现在所有的词听起来都像噪音......
任何人的想法/确认/提示?
【问题讨论】:
标签: azure azure-active-directory multi-tenant