ámbito tutorial premium para licenses english educativo active azure security azure-active-directory

premium - azure active directory tutorial



Permisos de aplicación de aplicación Azure AD frente a permisos delegados (2)

De la documentación aquí: https://msdn.microsoft.com/en-us/library/azure/dn132599.aspx https://azure.microsoft.com/en-us/documentation/articles/active-directory-integrating-applications/#updating-an-application (consulte Accessing Web API in Other Application sección de Accessing Web API in Other Application ) Configure una aplicación cliente para acceder a las API web :

  • Permisos de la aplicación : su aplicación necesita acceder a la API web directamente como a sí misma (sin contexto de usuario). Este tipo de permiso requiere el consentimiento del administrador y tampoco está disponible para las aplicaciones cliente nativas.
  • Permisos de delegación : su aplicación necesita acceder a la API web como el usuario con sesión iniciada, pero con acceso limitado por el permiso seleccionado. Este tipo de permiso puede ser otorgado por un usuario a menos que el permiso esté configurado para requerir el consentimiento del administrador.

De acuerdo con esto, si su aplicación requiere la suplantación del usuario, entonces deberá usar los permisos de Delegación.

Estoy creando una aplicación Azure AD y noté que hay dos tipos de permisos, permisos de aplicaciones y permisos delegados. ¿Cuál es la diferencia entre los dos y bajo qué escenario debería usarlos?


Por lo general, utiliza permisos delegados cuando desea llamar a la API web como el usuario que ha iniciado sesión. Digamos, por ejemplo, que la API web necesita filtrar los datos que devuelve en función de quién es el usuario o ejecutar alguna acción como usuario registrado. O incluso solo para registrar qué usuario estaba iniciando la llamada.

Los permisos de aplicación se usan cuando la aplicación llama a la API como si fuera ella misma. Por ejemplo, para obtener el pronóstico del tiempo para un determinado código postal (no importa qué usuario haya iniciado sesión). El cliente puede incluso llamar a la API cuando no hay un usuario presente (algunos servicios en segundo plano llaman a la API para actualizar algún estado).