Azure Active Directory API-разрешения

Question

У меня есть сценарий, в котором я хотел бы получать заказы календаря / собрания из Exchange с помощью API Graph. Эти собрания должны быть доступны только в приложении, запущенном на панели управления / сенсорной панели, расположенной в этой комнате. Для этого я зарегистрировал приложение в Azure AD и использую MSAL. NET PublicClientApplication с необходимым разрешением API, например Calendars.Read, для которого требуется согласие администратора, и я использую поток кода устройства в приложении, которое генерирует код. всякий раз, когда я пытаюсь запустить приложение.

Я вижу, что также возможно настроить ConfidentialClient, который действует от имени приложения, а не пользователя. Кроме того, для этого требуется предварительное согласие администратора.

Вопрос:

1. Не уверен, какой тип механизма аутентификации лучше всего подходит в этом сценарии?
2. Можно ли сделать разрешения API, например, для "Calendars.Read" "работать на конкретную c учетную запись? Как и в этом случае только для этой комнаты

Answer 1

Не знаете, какой тип механизма аутентификации лучше всего подходит в этом сценарии?

Я думаю, что оба они могут удовлетворить ваши требования, в целях безопасности, я рекомендую вам использовать опцию один. Что следует отметить, если вы используете делегированное разрешение Calendars.Read с потоком кода авторизации, пользователь должен войти в приложение, затем приложение выполняет операции от имени пользователя, по существу, разрешение исходит от пользователя.

Если вы используете разрешение приложения Calendars.Read, оно использует поток учетных данных клиента, разрешение поступает из приложения, это означает, что все в комнате могут использовать приложение для получения заявок на бронирование / встречи в календаре.

Можно ли настроить разрешения API, например, для "Calendars.Read", для работы с определенной c учетной записью? Как и в этом случае только для этой комнаты

Нет, вы не можете разрешить API работать только для определенной c учетной записи.