Azure AD多租赁和多层许可_Azure_Azure Active Directory_Multi Tenant

Azure AD多租赁和多层许可

azure azure-active-directory

Azure AD多租赁和多层许可,azure,azure-active-directory,multi-tenant,Azure,Azure Active Directory,Multi Tenant,有人可以解释azure管理员同意流给我，因为它没有很好的文档记录，我无法阅读和理解，或者其他什么我有一个web应用程序，在一个家庭租户中使用web api web api是对web应用程序的权限 web api将web应用程序客户端id作为knownclientapplication 如果我以家庭租户管理员的身份登录web应用程序并要求web api的作用域，则一切正常：我看到一个管理员同意对话框，包括web api 我同意，一切都很好如果我以客户机租户的身份登录web应用程序，要求web

有人可以解释azure管理员同意流给我，因为它没有很好的文档记录，我无法阅读和理解，或者其他什么

我有一个web应用程序，在一个家庭租户中使用web api web api是对web应用程序的权限 web api将web应用程序客户端id作为knownclientapplication

如果我以家庭租户管理员的身份登录web应用程序并要求web api的作用域，则一切正常：我看到一个管理员同意对话框，包括web api 我同意，一切都很好

如果我以客户机租户的身份登录web应用程序，要求web api的作用域-使用“/common”租户，情况就不那么好了：我看到一个管理员同意对话框，不包括web api 当我同意时，注册以AADSTS650051结束，声明我无权访问资源

这对我来说是有意义的，因为web api在客户租户中没有服务主体，因此无法访问它，但是当我阅读文档时，is建议它应该以这种方式工作。这些术语对我来说开始模糊，因为它们有点模棱两可，这就是我不确定我应该做什么的地方

我可以让它工作，如果我先登录到web api，因为它将创建服务prinicpal 然后我可以登录到web应用程序，在那里它现在可以访问prinicpal服务

但是文档并没有在多层单租户中真正解释这一点，而是在多层多租户中提出了这一点

我读了很多遍，现在所有的单词听起来都像是噪音

有人有想法/确认/提示吗？

我想我找到了答案——是偶然发现的，日期是2017年，谁知道呢

显然，

knownclientapplications

设置只在同一租户中启用多层同意

当提供多租户解决方案时，您必须构建一个多同意流，在该流中，您要求管理员单独同意应用程序

所以我的假设是正确的。单人房，很好。多租户，不

文档明确说明knownClientApplications将用于单个租户。多租户设置需要2个同意流。

谢谢。当我读到“单租户”时，这让我感到困惑，这意味着两个应用程序都在同一个租户中。