Поток учетных данных клиента Azure Active Directory

Question

Я использую Azure Active Directory, поток учетных данных клиента в управлении доступом к веб-API моей организации.

У меня есть следующие приложения, зарегистрированные в AD: backend-app client1 client2

Теперь, даже если я не предоставляю делегированный доступ в Client1 к backend-api, клиент 1 может получитьтокен для ресурса "backend-app".Могу ли я в любом случае избежать этого?Я не хочу, чтобы клиенты, которым я явно не предоставил делегированный доступ, могли получить токен.

Этот поток отлично работает в собственных приложениях, где AAD выдает ошибку, указывающую, что client1 не имеет необходимых разрешенийдля backend-приложения.

Answer 1

Под корпоративными приложениями - Имя приложения - Свойства, есть ли настройка Назначение пользователя требуется?Установка этого параметра позволит только явно назначенным пользователям получать доступ к приложению.

Взято из инфобокса на портале Azure:

Если для этого параметра установлено значение Да, то сначала пользователи должны бытьназначенный этому приложению, прежде чем он сможет получить к нему доступ.

Дополнительные сведения о Назначение пользователей и групп приложению в Azure Active Directory