Определение областей применения в AAD

Question

Кажется, есть два отдельных механизма для определения областей приложения в AAD: appRoles через обновление манифеста и oauth2Permissions через регистрации приложений, вкладка Exposed API.Первый - единственный, который разрешает область приложения (позволилMemberType: Приложение) - вкладка разрешений API в Регистрациях приложений, кажется, только разрешает делегированные разрешения пользователя.Я правильно интерпретирую это?Это кажется довольно запутанным.

Answer 1

Вы правы насчет oauth2Permissions, который представляет собой набор сущностей OAuth2Permission, используемый для определения delegated permissions для веб-API.

Когда вы разработаете свой собственный организационный API, вам нужно добавить это scope в Exposed API tab

Для получения дополнительной информации вы можете обратиться к этому документы

С другой стороны, , когда вы хотите получить доступ к Microsoft APIs, в этом случае вы должны назначить его на API permissions tab.

API permissions предоставляет разрешения delegated и application, это зависит от того, какой тип разрешения требуется вашему приложению.

Для более подробной информации вы можете обратиться к официальным документам

Answer 2

appRoles через манифест

Мы можем определить как роль пользователя, так и роль приложения через манифест. Мы можем видеть роли приложения под разрешениями приложения. И разрешение приложения используется потоком учетных данных клиента.

Мы не можем найти роли пользователя в рамках делегированных полномочий пользователя, поскольку эти роли здесь не используются. Роли назначаются конкретному пользователю на вкладке корпоративного приложения, разработчик должен предоставить разный логический код для разных ролей.

oauth2Permissions через регистрации приложений

Мы можем только добавить делегированное разрешение здесь. И это разрешение распространяется на всех пользователей, а не на конкретного пользователя. Когда пользователи войдут в систему, их попросят дать согласие на эти разрешения.