Azure active directory 从多租户应用程序查询租户Azure AD
我们有一个多租户Saas应用程序,使用我们的用户名/pwd身份验证系统和Azure AD(OAuth 2.0流)提供登录。当用户使用Azure AD登录时,我们可以使用{tenantid}/me获取用户的配置文件。但是,我们希望使用memberOf或getMemberGroups操作获取更多信息,以检索租户目录中的用户组,将租户中的特定组映射到应用程序中的组织结构。但是,这些操作总是会失败,并显示禁止的状态代码。我们是否缺少必需的权限,或者无法查询其他租户的组和角色Azure active directory 从多租户应用程序查询租户Azure AD,azure-active-directory,Azure Active Directory,我们有一个多租户Saas应用程序,使用我们的用户名/pwd身份验证系统和Azure AD(OAuth 2.0流)提供登录。当用户使用Azure AD登录时,我们可以使用{tenantid}/me获取用户的配置文件。但是,我们希望使用memberOf或getMemberGroups操作获取更多信息,以检索租户目录中的用户组,将租户中的特定组映射到应用程序中的组织结构。但是,这些操作总是会失败,并显示禁止的状态代码。我们是否缺少必需的权限,或者无法查询其他租户的组和角色 提前感谢这是完全可能的,但今
提前感谢这是完全可能的,但今天需要您请求“读取目录”权限。此许可确实需要承租人的管理人员同意。我们正在考虑为Graph API添加一些额外的细粒度权限,以允许用户同意(获取组成员信息) 您的另一个选项是将应用程序配置为请求组成员资格声明(应该出现在任何用户或JWT令牌中)。您可以通过转到azure管理门户并进入应用程序的配置页面来实现这一点。从那里下载应用程序清单文件并更新groupMembershipClaims属性。您可以在此处描述的应用程序清单中看到大多数属性:。更新后,您可以上载此应用程序清单文件,这将相应地配置您的应用程序。完成后,AAD将在令牌中发出组成员资格声明。Dushyant写了一篇很好的博客,关于使用组成员声明或应用程序角色授权访问web应用程序。您可以通过Alex Simons的博客帖子在这里找到:
HTHs你的问题有没有得到答案?我在这方面也需要帮助。需要获取或识别用户的role@user332951. 我们终于可以为租户的管理员添加一个登录页面,允许他们查询其他信息,如组。有关更多信息,请参阅上的Azure广告示例