Что делает кнопка «дать согласие администратора» в приложении Azure Active Directory Azure?

Question

Мы настроили приложение Azure Active Directory, чтобы пользователи на нашем веб-сайте могли входить через свои учетные записи Microsoft . Проблема заключается в том, что если мы не не предоставим доступ администратора , то произойдет сбой входа в приложение с кодом ошибки AADSTS650056:

Приложение неправильно настроено,Это может быть связано с одним из следующих действий: Клиент не указал никаких разрешений для «AAD Graph» в запрошенных разрешениях при регистрации приложения клиента.

Мы скептически относимся к щелчку на «Предоставить согласие администратора», опасаясь, что он может раскрыть любую уязвимость. Это правильный путь? Если нет, то каковы альтернативы, позволяющие обойти такое согласие?

Answer 1

Каждое приложение регистрирует необходимые ему разрешения. Некоторые разрешения могут предоставляться пользователями, другие - только администратором.

Предположим, у вас есть только разрешения, которые могут быть разрешены пользователями. При первом использовании приложения им будет предложено (каждому пользователю) согласиться с этими разрешениями для приложения. Если в том же сценарии вы нажмете «Предоставить согласие администратора», это будет эквивалентно принятию его для всех пользователей арендатора.

Теперь давайте предположим, что приложение регистрирует разрешения, требующие согласия администратора, у вас нет выбора, кроме какнажмите эту кнопку, если хотите, чтобы приложение работало и могло запрашивать токены.

Эти разрешения, требующие согласия администратора, - это разрешения, которые разрешают доступ к дополнительным или конфиденциальным данным в организации.