Microsoft Graph Teams 来宾邀请

【问题标题】:Microsoft Graph Teams Guest InvitationMicrosoft Graph Teams 来宾邀请
【发布时间】:2019-08-30 13:27:55
【问题描述】:

我正在尝试在 Teams 中开发一款应用,以帮助团队所有者邀请外部来宾加入他们的团队。该应用程序在后端使用图形 api /invitations 调用来完成工作。我们通过在 AD App 注册刀片下的 Azure 门户中为他们分配 User.Invite.All api 权限来限制可以邀请来宾的用户。我们发现,即使没有分配此权限的用户也可以邀请客人。我做错什么了吗?

【问题讨论】:

    标签: azure-active-directory microsoft-graph-api


    【解决方案1】:

    如果您将委派权限 User.Invite.All 授予应用,并且用户能够邀请用户,则该用户已经拥有邀请用户的权限。 他们将能够去例如portal.azure.com,在这种情况下也可以从那里邀请用户。

    如果您将 app 权限 User.Invite.All 授予该应用,则 任何使用该应用的用户 都可以邀请用户,因为该应用本身具有权限并且用户信息甚至不存在于访问令牌中。

    【讨论】:

    • 我的问题是没有 User.Invite.All 的人也可以邀请不应该招待的客人
    • 无法为用户分配 User.Invite.All。应用程序被授予此权限,用户可以同意应用程序代表他们执行此操作。就像我说的,如果这是委托的权限,并且用户可以邀请用户,那么用户已经拥有权限。
    • 如果是应用权限,那么任何用户都可以通过扩展获得权限。
    • 同意,如果应用程序确实有委派的 User.Invite.All 权限,事情应该可以工作。但是即使应用程序没有这些权限,邀请电话也能正常工作,这是我的问题
    • 我终于找到了解决这个问题的办法。 AAD 中有一个叫做访客邀请者角色的东西,这是关键。如果我们在这里添加用户,用户将能够发送邀请,否则不能。谢谢你的帮助 junnas
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode