Azure AD / Entra ID:提供对应用程序或组中的用户列表的 API 访问权限
问题描述 投票:0回答:1
我有一个 Entra ID 设置,我需要允许外部服务访问用户列表。这些用户来自 2 个组。
目标是允许此外部服务获取这些用户的电子邮件,并且仅获取这些用户的电子邮件,而不是租户中的所有电子邮件。
我创建了一个具有 API 权限的应用程序,认为可以仅使用分配给该应用程序的用户数据来授予对外部服务的 API 访问权限。
我尝试过的:
- 尝试使用 User.Read.All 或 User.ReadBasic.All,但它允许外部服务可以查看租户中的所有用户。
- 尝试使用 GroupMember.Read.All 这几乎很好,但它不会返回用户的电子邮件,除非我使用 User.ReadBasic.All 启用解决方案 1。
有没有办法在不授予列出租户中所有用户的权限的情况下实现此目标?
或者也许是除应用程序之外的另一种方法?
1个回答
0
投票
投票
注意:当您添加或授予委托
/User.Read.All时,默认情况下登录应用程序的用户将能够获取租户中的所有用户。GroupMember.Read.All
- 因此,您可以通过将用户添加到用户和组中来限制用户使用该应用程序。
- 如果用户生成的访问令牌包含
/User.Read.All
,则该用户可以访问租户中的所有用户。GroupMember.Read.All - 因此,不可能允许用户仅访问用户的子集。
如果您授予
User.Read无法实现您的要求,请授予
User.Read.All
API 权限授予后允许读取所有用户的完整个人资料。User.Read.All
生成访问令牌并调用以下 API:
GET https://graph.microsoft.com/v1.0/users
参考:
如何将 User.Read.All 的范围限制为特定的用户子集 - Vasil Michev 的 Microsoft 问答。
最新问题
- nginx 重定向到索引页面
- 如何在Python中计算math.sqrt(-1)?
- Angular 19 独立组件错误:尽管导入了 HttpClientModule,“没有 _HttpClient 的提供程序”
- 不同加数问题贪心算法
- 我无法在 Ajax 中执行 Perl 脚本
- AVX2 / gcc:通过使用不同的寄存器来提高CPU级并行性
- 我无法在ajax中执行perl脚本
- 实体框架。直接编辑集合导航属性时的奇怪行为
- 在Python中检测比例参考线坐标
- 如何防止我的Python脚本在Windows上运行后立即关闭?
- Gridgain9 是 ignite2 还是 ignite3 的下游
- 如何修改JavaFX中的ChoiceBox复选标记?
- 在pygame中实时播放带有alpha通道和同步音频的两个混合视频?
- 如何在cypher-shell中使用环境变量NEO4J_PASSWORD
- ASP Classic IPN 侦听器可以工作,但现在不行了
- 如何实际使用 cv2.estimateAffine3D 在 python 中对齐 3d 点?
- 如何在 R 中生成具有跨多个组的 FDR 校正 P 值的分层汇总表
- 我无法使用 Exact Alarm 进行颤振本地通知
- Azure OpenAI Studio Playground:在向任何函数提交输出时,我的助手总是返回未定义的错误
- 如何对Bull.js与Redis服务器的连接实现完整而非部分的TLS保护?
© www.soinside.com 2019 - 2024. All rights reserved.