Azure 门户 - 通过向应用程序分配角色使用图形 api 访问用户详细信息时出现问题

问题描述 投票:0回答:1

用例:Graph API 应该只能访问 1 个组及其用户。

问题:使用下面提到的步骤,用例在组级别工作正常,即,图形 API 只能访问该组,而对于所有其他组,它会按照预期抛出 AccessDenied。 但我无法获取 groups("groupID").members() 列表中的用户详细信息。它返回正确的用户 ID,但我还需要用户电子邮件和用户名,它们为空。

以下是采取的步骤:

  1. 注册了一个新应用程序custom_app

  2. 在角色和管理员下创建了目录级自定义角色:custom_role

  3. 将以下权限分配给 custom_role: microsoft.directory/groups/members/read 、 microsoft.directory/users/identities/read 、 microsoft.directory/users/standard/read

  4. 创建一个名为custom_group的自定义组并分配3个用户:user1、user2和user3

  5. 通过以下步骤将应用程序范围限制为仅此组

    1. 在custom_role中,添加分配
    2. 范围类型:团体
    3. 范围:custom_group
    4. 成员:custom_app的ID(服务原理)

仅当重复上述第 5 点进行分配范围:用户、成员:服务原则时,我才能获取用户名和用户电子邮件。

如何在自定义角色中不将用户分配给服务原则并直接分配组来实现相同的效果?

感谢支持。

azure azure-active-directory microsoft-graph-api azure-ad-graph-api azure-role-environment
1个回答
0
投票

感谢您分享上述步骤,我能够复制您的场景。 我通过在 Customapp 上添加 User.Read.All 应用程序权限解决了此问题,如图所示。要读取群组成员(即用户)的基本属性,应用程序至少需要 User.Read.All 权限。

要读取群组成员的基本属性,应用程序至少需要 Group.Read.All 权限。

有关权限的其他信息可以在此处找到 - https://learn.microsoft.com/en-us/graph/permissions-overview?tabs=http#limited-information-returned-for-inaccessible-member-objects

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.