Я использую лазурный Active Directory, клиентский поток учетных данных в управлении доступом к веб-API моей организации.

У меня есть следующие приложения, зарегистрированные в AD: backend-app client1 client2

Теперь, даже если я не предоставлю делегированный доступ в Client1 к backend-api, клиент 1 сможет получить токен для ресурса «backend-app». Есть ли способ избежать этого? Я не хочу, чтобы клиенты, которым я явно не предоставил делегированный доступ, могли получить токен.

Этот поток отлично работает в собственных приложениях, где AAD выдает ошибку, указывающую, что client1 не имеет необходимых разрешений для внутреннего приложения.

1
Sundeep S 26 Ноя 2018 в 19:12

1 ответ

Лучший ответ

В разделе Корпоративные приложения - Имя приложения - Свойства есть параметр Требуется назначение пользователя? Установка этого параметра разрешит доступ к приложению только явно назначенным пользователям.

Взято из информационного окна на портале Azure:

Если для этого параметра установлено значение «Да», то пользователи должны быть сначала назначены этому приложению, прежде чем они смогут получить к нему доступ.

Дополнительная информация на Назначьте пользователей и группы приложению в Azure Active Directory

2
rickvdbosch 26 Ноя 2018 в 16:23