具有活动角色的Azure AD App授权

Question

我对具有活动角色的API的Azure AD授权有些麻烦。以下是我的步骤：

1. 我创建了一个Azure AD应用并激活了选项＆＃34;需要用户分配＆＃34;
2. 在清单中，我创建了角色
3. 在我的WebApp中，我使用了ADAL，我的指定用户可以登录。一切正常

我的问题： 现在我有另一个API /批应该＆＃34;登录＆＃34;进入我的AD-App。 我很容易想到 - ＆gt;我创建了一个密钥，我的请求参数如下：

登录网址：https://login.microsoftonline.com/MyTenantID

ClientID：AD-App的myAppID

Key：MyKey

ResourceID：AD-App的MyAppID

- ＆GT;错误：应用程序＆＃39; xxx＆＃39;未分配给...

的角色

那么我做错了什么？如何指定APP自己登录＆＃39;？

Answer 1

由于用户分配要求选项如下所示：

  

如果此选项设置为“是”，则必须先将用户分配给此应用程序，然后才能访问该应用程序。   如果此选项设置为no，则导航到该应用程序的所有用户都将被授予访问权限。   仅当为以下登录模式配置应用程序时，才会启用此选项：基于SAML的SSO或具有Azure AD身份验证的WIA。

  

那么我做错了什么？如何指定APP自己登录＆＃39;？

根据您的描述，我假设您在没有用户交互的情况下使用Service to Service客户端凭据授权流程。对于您的方案，您需要为应用程序成员定义Application roles，您可以按照类似issue的详细信息进行操作。

此外，您可以参考我的测试步骤：

定义应用程序角色：

创建另一个AAD应用并配置访问其他AAD应用所需的权限：

获取令牌：