.net core 多租户应用程序问题访问图形api_.net Core_Jwt_Azure Active Directory_Asp.net Core Webapi_Msal

.net core 多租户应用程序问题访问图形api

.net-core jwt azure-active-directory

.net core 多租户应用程序问题访问图形api,.net-core,jwt,azure-active-directory,asp.net-core-webapi,msal,.net Core,Jwt,Azure Active Directory,Asp.net Core Webapi,Msal,我有一个多租户应用程序js客户端，带有masal和Web Api，一切正常。用户可以登录并使用Api 我正在尝试使用Graph Api读取用户所属的广告组。它适用于注册应用程序的同一租户上的用户，但如果我使用的是来自不同租户的用户，则我有403（权限不足，无法完成操作。）错误，尝试访问/users/{userId}/memberOf endpoint。在azure上为客户端和服务器注册应用程序后，我在Api权限部分（应用程序权限）中设置了相应的权限，我认为是这样的，但它肯定会让我遗漏其他内容

我有一个多租户应用程序js客户端，带有masal和Web Api，一切正常。用户可以登录并使用Api

我正在尝试使用Graph Api读取用户所属的广告组。它适用于注册应用程序的同一租户上的用户，但如果我使用的是来自不同租户的用户，则我有403（权限不足，无法完成操作。）错误，尝试访问/users/{userId}/memberOf endpoint。在azure上为客户端和服务器注册应用程序后，我在Api权限部分（应用程序权限）中设置了相应的权限，我认为是这样的，但它肯定会让我遗漏其他内容。

知道我遗漏了什么吗？

请参考下面的aricle：

对于多租户应用程序，应用程序的初始注册位于开发人员使用的Azure AD租户中。当来自不同租户的用户首次登录应用程序时，Azure AD会要求他们同意应用程序请求的权限。如果他们同意，则在用户的租户中创建一个称为服务主体的应用程序表示，并且可以继续登录。还将在记录用户对应用程序的同意的目录中创建委派

您的应用程序使用需要管理员同意的权限（

/users/{userId}/memberOf

），如果普通用户尝试登录到请求需要管理员同意的委派权限的应用程序，您的应用程序将收到错误

在Azure AD V2.0中，您可以将用户重定向到Microsoft identity platform管理员同意端点：

// Line breaks are for legibility only.
GET https://login.microsoftonline.com/{tenant}/v2.0/adminconsent?
client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&state=12345
&redirect_uri=http://localhost/myapp/permissions
&scope=
https://graph.microsoft.com/calendars.read 
https://graph.microsoft.com/mail.send

见文件：