Wir haben eine Webapplikation, die openid connect mit azure als Identityprovider verwendet, um Benutzer anzumelden. So dass die Nutzer, wenn sie auf eine URL in ist die Unterzeichnung wie gesendet:admin_consent für openid connect und dynamische Bereiche
https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?response_type=id_token+token&client_id=3{clientId}&response_mode=form_post&redirect_uri=http://localhost:8765/ms/oidc/signon/response&scope=openid+profile+https://graph.microsoft.com/user.read&state=1234&nonce={nonce}
dies funktioniert gut, aber verlangt von den Nutzern unserer Anwendungen zustimmen Erlaubnis Tive das erste Mal, wenn sie es verwenden.
Wir möchten Office365 bieten Administratoren die Möglichkeit, im Namen ihrer gesamten Mieter einverstanden sind, so schicken wir sie an einen Endpunkt wie:
https://login.microsoftonline.com/common/adminconsent?client_id={clientId}&state=12345&redirect_uri=http://localhost:8765
dies scheint auch gut zu funktionieren, und das Admin-i informiert, dass sie im Namen aller Nutzer in ihrem Mieter zustimmen werden. Dem Benutzer wird jedoch immer noch die Einverständniserklärung bei der ersten Anmeldung angezeigt. Dies macht Sinn, da die App nur mit der Erlaubnis user.read registriert ist, so dass, wenn wir stattdessen gesendet Typ festgelegt, um den Benutzer zu
https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?response_type=token&client_id={clientId}&response_mode=form_post&redirect_uri=http://localhost:8765/ms/oidc/signon/response&scope=https://graph.microsoft.com/user.read&state={state}&nonce={nonce}
ohne die dynamische Berechtigungsanfrage und Antwort nur, das Admin-Token Zustimmung funktioniert, und Benutzer werden nicht mit der Zustimmungsaufforderung dargestellt. Also, ich denke, ich habe 2 Fragen:
1) ist das, wie es funktionieren soll, oder gibt es eine Möglichkeit, Admin-Zustimmung zu den Profil und Openid Bereichen?
2) Fehle ich eigentlich etwas, indem ich diese (openid + profile) Berechtigungen nicht anfordere? Ich nehme nicht und id_token in der Antwort, aber scheint die authentication_token schon noch mehr Informationen enthält als die id_token tut sowieso
Vielen Dank für die Antwort, rate ich muss warten, bis MS es beheben. Und in Bezug auf Punkt 2 verstehe ich den Unterschied zwischen oauth und openid connect, wir verwenden derzeit die openid connect Bereiche und bekommen ID_Token, so dass meine Fragen mehr im Sinne von, wenn es etwas durch die Verwendung von OIDC gewonnen in Dieser Kontext, da, wie Sie darauf hinweisen, wir bereits Benutzer anfordern.lesen, – vruum