Permissions Azure AD的可选应用程序权限_Permissions_Active Directory_Azure Active Directory_Daemon

Permissions Azure AD的可选应用程序权限

permissions active-directory azure-active-directory

Permissions Azure AD的可选应用程序权限,permissions,active-directory,azure-active-directory,daemon,Permissions,Active Directory,Azure Active Directory,Daemon,现在，我只请求了用户成功验证SaaS应用程序所需的权限。这些是委派的权限我现在想知道如何处理新的守护进程集成的权限，它将从Graph请求不同的数据，并需要应用程序权限。到目前为止，我看到了这些替代方案：我创建了一个代表集成的新应用程序，如果客户希望启用此功能，他们将通过管理同意流，并授予所需的应用程序权限我给主应用程序设置了“可选权限”，并告诉客户，如果他们不使用此特定功能，那么他们可以撤销此权限和该权限还有其他选择吗？其他人如何处理这种情况我预计未来会有更多需要不同权限的守护进程，这

现在，我只请求了用户成功验证SaaS应用程序所需的权限。这些是委派的权限

我现在想知道如何处理新的守护进程集成的权限，它将从Graph请求不同的数据，并需要应用程序权限。到目前为止，我看到了这些替代方案：

我创建了一个代表集成的新应用程序，如果客户希望启用此功能，他们将通过管理同意流，并授予所需的应用程序权限

我给主应用程序设置了“可选权限”，并告诉客户，如果他们不使用此特定功能，那么他们可以撤销此权限和该权限

还有其他选择吗？其他人如何处理这种情况

我预计未来会有更多需要不同权限的守护进程，这使得备选方案1）看起来很不吸引人。另一方面，我可以想象，如果我沿着路线2）走，到处都会有广告管理员的回击，并要求获得不适用于该组织功能集的所有类型的权限。

最佳实践要求您为每个应用程序/守护程序单独注册应用程序。也就是说，如果您不想，您可以在两个选项之间做一些事情，为所有守护进程进行第二次应用程序注册，并进行一次简单的SPA登录以同意该应用程序注册，这与saas应用程序注册是分开的。不过，我绝对不会选择您列表中的选项2，因为这样saas应用程序在技术上就可以访问您的守护程序权限所拥有的所有相同的东西，这可能会带来很大的安全风险