Azure AD fordert Benutzer/Administrator auf, nach dem Ändern der Anwendungsberechtigungen erneut zuzustimmen

Question

Ich erstelle eine SaaS-App, die Benutzer mit Azure AD authentifiziert. Nehmen wir an, ich frage nur eine delegierte Erlaubnis vom Benutzer während der Zustimmungsaufforderung und der Benutzer akzeptiert sie.

Später entwickelt sich meine App und muss mehr delegierte Berechtigungen erhalten. Wie kann ich den Benutzer in diesem Fall erneut mit der Zustimmungsseite auffordern? Ich möchte das nur einmal machen, wenn sich die Berechtigungen ändern.

Muss ich in meiner App nachverfolgen, welchen Berechtigungen die einzelnen Benutzer zugestimmt haben, und dann bestimmen, ob der Abfrageparameter prompt=admin_consent hinzugefügt werden soll, während auf die Authentifizierungsseite umgeleitet wird?

Answer 1

Die prompt=admin_consent wird verwendet, wenn ein Administrator die Zustimmung für ihre Organisation geben muss. Wenn Sie nur die Zustimmung des Benutzers benötigen, verwenden Sie prompt=consent.

Eine weitere Möglichkeit besteht darin, dass Sie auf die Anmeldeseite umleiten können, um den Eingabeaufforderungsparameter hinzuzufügen, um erneut zuzustimmen, wenn die App die Ausnahme erhält, da keine Berechtigung zum Aufrufen der neuen API vorhanden ist.

Sie könnten auch den V2.0-Endpunkt in Betracht ziehen, der die inkrementelle und dynamische Zustimmung unterstützt.

Here ist das Dokument über Azure AD V2.0 Endpunkt für Ihre Referenz.