Azure создание принципала сервиса через Graph API

Question

Я могу зарегистрировать приложение, следуя информации, предоставленной в Создание Azure Приложения AD и участника службы с использованием. NET Ядро (API и HTTP) , но когда я попробовал следующую конечную точку используя Почтальон, я получил ошибку Недостаточно прав.

Поскольку я могу создать приложение с помощью API, я не считаю, что это проблема с разрешениями.

POST https://graph.windows.net/{{tenant_id}}/servicePrincipals?api-version=1.6

тело выглядит так:

{
  "appId":"eb167a6d-aaaa-aaaa-aaaa-46e981be37fa"
}

и получаю эту ошибку

{
    "odata.error": {
        "code": "Authorization_RequestDenied",
        "message": {
            "lang": "en",
            "value": "Insufficient privileges to complete the operation."
        }
    }
}

Answer 1

Обратите внимание, что есть два вида разрешений. Делегированные разрешения и Разрешения приложений . Вы можете увидеть разницу здесь .

Это зависит от способа получения токена доступа. Если вы получаете токен без авторизованного пользователя, вам необходимо использовать разрешения приложения и дать согласие администратора.