oidc management active azure oauth active-directory azure-active-directory

active - login azure management portal



Inicio de sesiĆ³n de Azure Active Directory: permisos de la aplicaciĆ³n web, no se activa el consentimiento del usuario (2)

Si un administrador crea una aplicación en su inquilino usando el portal AUX (manage.windowsazure.com), y solicita permisos a otras aplicaciones, los usuarios de ese mismo inquilino reciben un consentimiento previo para esa aplicación. Tenga en cuenta que este comportamiento NO es cierto para nuestros otros portales de registro de aplicaciones (portal.azure.com o identity.microsoft.com)

Creo que esta es la razón por la que no está viendo el diálogo de consentimiento cuando los usuarios de su inquilino inician sesión en su aplicación. Si desea impulsar la experiencia de diálogo de consentimiento, hay algunas cosas diferentes que puede hacer:

  1. Puede usar cadenas de consulta para solicitar "consentimiento" o "consentimiento administrativo" durante el inicio de sesión. Consulte aquí: https://msdn.microsoft.com/en-us/library/azure/dn645542.aspx
  2. Puede eliminar el principal del servicio para su aplicación de su inquilino usando AAD PowerShell. Puede aprender cómo hacerlo aquí: https://msdn.microsoft.com/en-us/library/azure/dn194113.aspx
  3. Puede hacer que un usuario de otro inquilino intente iniciar sesión en su aplicación de varios inquilinos.
  4. Puede crear su aplicación en una cuenta que no sea de administrador.

¡Espero que esto ayude!

Shawn Tabrizi

Actualmente he configurado una instancia de AAD y estoy autenticando a mis usuarios contra ella a través de mi aplicación web, y está funcionando muy bien.

Cuando agregué y configuré la aplicación en AAD, agregué la aplicación requerida y los permisos delegados para acceder a la API de calendario de Office365. Sin embargo, lo único que falta es que durante el flujo de inicio de sesión a los usuarios no se les pida que concedan el consentimiento para los permisos, como debería ocurrir a partir de lo que he leído en sus documentos: https://msdn.microsoft.com /en-us/library/azure/dn132599.aspx#BKMK_Consent

No estoy seguro de lo que me estoy perdiendo. Aparentemente, de los documentos,

Una vez que el usuario se haya registrado, Azure AD determinará si el usuario necesita una página de consentimiento. Esta determinación se basa en si el usuario (o el administrador de su organización) ya ha otorgado el consentimiento de la aplicación. Si aún no se ha otorgado el consentimiento, Azure AD solicitará el consentimiento del usuario y mostrará los permisos necesarios para funcionar. El conjunto de permisos que se muestra en el cuadro de diálogo de consentimiento es el mismo que se seleccionó en Permisos para el control de otras aplicaciones en Azure Management Portal.

Así que tal vez de alguna manera ya he otorgado implícitamente el consentimiento del administrador para esos permisos, pero no sé cómo sucedió eso.

Adjunté los permisos que configuré en la aplicación AAD.

Cualquier ayuda sería apreciada.

Prueba esto:

¿Cuál es el parámetro de recurso en la aplicación del inquilino de Windows Azure AD o la especificación AAuth 2.0?

Cambiar el parámetro del recurso a https://graph.windows.net me sirvió.

Además, el soporte de Microsoft sugiere deshabilitar todos los permisos, excepto "Habilitar el inicio de sesión y leer los perfiles de los usuarios", aparentemente para evitar problemas relacionados con permisos. Entiendo que esta no es una solución en su caso, pero al menos le da un caso de prueba.