Azure active directory 从多租户应用程序查询租户Azure AD

我们有一个多租户Saas应用程序，使用我们的用户名/pwd身份验证系统和Azure AD（OAuth 2.0流）提供登录。当用户使用Azure AD登录时，我们可以使用{tenantid}/me获取用户的配置文件。但是，我们希望使用memberOf或getMemberGroups操作获取更多信息，以检索租户目录中的用户组，将租户中的特定组映射到应用程序中的组织结构。但是，这些操作总是会失败，并显示禁止的状态代码。我们是否缺少必需的权限，或者无法查询其他租户的组和角色

---

提前感谢

这是完全可能的，但今天需要您请求“读取目录”权限。此许可确实需要承租人的管理人员同意。我们正在考虑为Graph API添加一些额外的细粒度权限，以允许用户同意（获取组成员信息）

您的另一个选项是将应用程序配置为请求组成员资格声明（应该出现在任何用户或JWT令牌中）。您可以通过转到azure管理门户并进入应用程序的配置页面来实现这一点。从那里下载应用程序清单文件并更新groupMembershipClaims属性。您可以在此处描述的应用程序清单中看到大多数属性：。更新后，您可以上载此应用程序清单文件，这将相应地配置您的应用程序。完成后，AAD将在令牌中发出组成员资格声明。Dushyant写了一篇很好的博客，关于使用组成员声明或应用程序角色授权访问web应用程序。您可以通过Alex Simons的博客帖子在这里找到：

---

HTHs

你的问题有没有得到答案？我在这方面也需要帮助。需要获取或识别用户的role@user332951. 我们终于可以为租户的管理员添加一个登录页面，允许他们查询其他信息，如组。有关更多信息，请参阅上的Azure广告示例