Ms office 将其他Windows Azure AD委派权限添加到现有授予_Ms Office_Office365_Azure Active Directory

Ms office 将其他Windows Azure AD委派权限添加到现有授予

ms-office office365 azure-active-directory

Ms office 将其他Windows Azure AD委派权限添加到现有授予,ms-office,office365,azure-active-directory,Ms Office,Office365,Azure Active Directory,我有一个生产中的WindowsAzure广告应用程序，它通过OAuth2对用户进行身份验证。目前，它只请求一个委托权限-“启用登录并读取用户配置文件”。我正在为我们的应用程序添加一个新功能，该功能将使用Office 365 API，这显然需要应用程序请求额外的授权我已更新我们的应用程序清单，同意我们的应用程序的新用户将同时授予登录和Office 365委派权限，令牌端点响应范围参数为UserProfile.Read Mail.Read。但是，对于仅在请求登录委派权限时同意我们的应用的现有用户，

我有一个生产中的WindowsAzure广告应用程序，它通过OAuth2对用户进行身份验证。目前，它只请求一个委托权限-“启用登录并读取用户配置文件”。我正在为我们的应用程序添加一个新功能，该功能将使用Office 365 API，这显然需要应用程序请求额外的授权

我已更新我们的应用程序清单，同意我们的应用程序的新用户将同时授予登录和Office 365委派权限，令牌端点响应

范围

参数为

UserProfile.Read Mail.Read

。但是，对于仅在请求登录委派权限时同意我们的应用的现有用户，Windows Azure AD不会提示他们在下次登录时授予额外的Office 365委派权限。对于这些用户，令牌端点响应

scope

param仍然作为

UserProfile.Read

，即仅作为登录委托权限

我知道我可以将

？prompt=approve

传递给

https://login.microsoftonline.com/common/oauth2/authorize

这将强制用户授予所有请求的委托权限，但这有点像大锤式的方法，因为每次都会要求所有人，当我所要做的就是捕获这些用户时，在请求的授权权限和授予的授权权限之间存在差异。在我试图维护的SSO体验中，它不会起到很好的作用

使用GoogleOAuth，作用域作为授权请求中的查询参数传递，并提示用户对尚未授予的任何已请求的作用域授予许可。对于所有作用域的新用户，对于将成为新添加作用域的现有用户，在这之后不需要额外的同意，因为所有作用域都将被授予-这正是我试图通过Windows Azure AD实现的目标

是否有某种方法强制在应用程序清单中配置为强制的委派权限，即如果未授予这些委派权限，登录将无法完成？

Azure人员正在每个请求中实施传递范围。同时，他们给出的指导是，您不必在每个请求中都包含

prompt=approve

。相反，如果你得到一个未经授权的错误，那么你会用

prompt=approve

重新请求，只是为了补充Jason的答案，我完全同意。如果您知道呼叫是您在应用程序中添加的新功能的一部分，但收到未经授权的错误，请使用prompt=approve再次请求授权。谢谢。这就是我所做的，但最终能够通过初始授权上的作用域将最适合我的应用程序流。期待着在未来看到支持。