1. дома
  2. Вопрос и ответ
  3. Как заявление AzureAD может аннулировать свое согласие? (Удалить делегированные или разрешения приложения)

Как заявление AzureAD может аннулировать свое согласие? (Удалить делегированные или разрешения приложения)

2017-01-20 2 views
1

В интересах прозрачности я хочу предоставить как администраторам, так и конечным пользователям возможность удалить приложение из своего профиля AD.Как заявление AzureAD может аннулировать свое согласие? (Удалить делегированные или разрешения приложения)

Сейчас Microsoft хочет, чтобы администраторы использовали команду powershell AzureAD Remove-MSOLServicePrincipal или перешли на портал управления Azure. Или конечные пользователи могут перейти на портал приложений.

Поскольку это, вероятно, что пользователь будет иметь несколько организаций или много разрешений приложения, я хочу, чтобы обеспечить простой вариант удалить для моего подмножества приложений (в то время, информирующее пользователя, что существует MSFT портал)

Как я могу депровизировать мое приложение как в потоке предоставления учетных данных клиента, так и в потоке предоставления кода авторизации?

источник

2017-01-20 LamonteCristo

ответ

1

Области разрешения, предоставленные приложению через процесс согласия, хранятся в каталоге как OAuth2PermissionGrants.

Если у вашего приложения есть разрешение на изменение этих объектов, вы сможете использовать Graph API для его удаления, что существенно удалит запись согласия для этого приложения.

Обратите внимание, что эти объекты привязаны к определенному clientId, который представляет собой принципал обслуживания клиентского приложения в вашем арендаторе. Вот почему мы просим вас удалить принципала обслуживания от вашего арендатора как быстрый способ удалить согласие, так как оно также удалит все связанные OAuth2Permissions.

Вы также можете использовать API-интерфейс Graph, чтобы удалить своего собственного Принципа обслуживания (я тестировал это в прошлом). Это также устранит все согласие, которое будет иметь ваша заявка на основе приведенных выше сведений.

Однако, насколько мне известно, эти виды разрешений не поддерживаются с помощью наших областей API открытого графика. Я получил такой доступ, добавив свое приложение в роль администратора компании в своем арендаторе, что повысит доступ к графику, доступ к которому будет доступен в наших общедоступных областях. Тем не менее, вам нужно использовать PowerShell или что-то в этом роде, и в этот момент может просто использовать тот же инструмент для удаления Сервисного Принципала в любом случае ...

Сообщите мне, если это поможет!

источник

2017-01-20 23:01:48

Смежные вопросы

 Смежные вопросы