Multitenancy-Problem mit AAD

Question

Wir haben ein Multi-Tenant-Multititer-Szenario in Azure AAD, in dem eine Client-App mehrere Web-APIs aufruft. Diese WebAPIs wiederum rufen andere WebAPIs auf. Jedes Mal, wenn wir eine neue API-Abhängigkeit hinzufügen, sehen wir, dass Benutzer, die sich nicht im App-Mandanten befinden, sich nicht anmelden können. Wir sehen den unten Fehler

AADSTS65005: Die App Zugriff auf einen Dienst braucht ......

Meine Frage ist, was ist die beste Praxis oder Führung um Multitenancy. Müssen wir jedes Mal, wenn wir eine neue Abhängigkeit hinzufügen, die Zustimmung des Administrators erteilen?

Answer 1

Das Problem besteht darin, dass Sie dem Anwendungsobjekt eine neue Berechtigungsanforderung hinzufügen. Die Berechtigungszuweisungen werden nicht automatisch auf den Dienstprinzipalen erstellt, sondern erfordern immer eine Zustimmung. Sie können dies ganz einfach in einem Single-Tenant-Szenario gewähren, aber Multi-Tenant ist schwieriger.

Da es keinen Sinn ergeben würde, dass ich einfach nur die Berechtigungen zum Lesen der Mailboxen aller Benutzer hinzufügen könnte, ist die einzige Option, die Admin-Zustimmung für jeden Mandanten erneut auszuführen.

Der v2-Endpunkt ermöglicht Ihnen eine einfachere Handhabung, da er eine dynamische/inkrementelle Zustimmung ermöglicht, bei der Sie einen neuen Bereich vom Client aus angeben können. Aber selbst dann müssten Sie den Benutzern mitteilen, dass sie die neue Funktionalität erst verwenden können, wenn ihr Administrator die Zustimmung erteilt.