다중 사용자 데몬 오피스 365 앱은 관리자 승인을 통해 소비자 AAD에 등록됩니다. 또한 소비자에게 별도로 등록해야합니까?

Question

사용자 캘린더에 액세스해야하는 다중 사용자 Office 365 데몬을 개발 중입니다.

인증서를 사용하여이 응용 프로그램을 배포 한 회사 임차인 (Tenant1)에 성공적으로 등록했으며 액세스 토큰을 얻을 수 있습니다.

이제 세입자 2의 관리자 계정을 사용하여 별도의 AAD 테넌트 (Tenant 2)를 만들고 데몬 응용 프로그램에 로그인하면 관리자 동의 화면이 표시되고 동의했습니다. 오류가 반환되지 않았습니다.

그러나 앱 토큰을 얻으려고했지만 빈 권한으로 토큰을 얻을 수 있습니다. 이 토큰을 사용하여 Office 365 API를 호출하면 401이됩니다.

서비스 주체 개체를 만들어야한다는 견해를 갖고있었습니다. 또한 Tenant 2 앱 등록에서이 앱을 볼 수 없습니다.

내 모든 소비자가 자신의 AD 테넌트에이 앱을 수동으로 등록하고 애플리케이션 매니페스트 파일을 수정하여 인증서 세부 정보를 추가해야합니까?

그렇다면 다중 임대의 이점에 대해 확신하지 못합니다.

다음 다이어그램은 HR 응용 프로그램라는 샘플 멀티 테넌트 (multi-tenant) 응용 프로그램의 맥락에서, 응용 프로그램의 응용 프로그램 개체 및 해당 서비스 사용자 개체 사이의 관계를 보여

은 내가 Azure Active Directory documentation의 추적을 발견했다. 이 시나리오에서 세 개의 푸른 AD 임차인이 있습니다

• 를 Adatum는 - Contoso의 조직에서 사용하는 세입자, 인사 응용 프로그램의 소비자입니다 - 인사 응용 프로그램
• Contoso의 개발 회사에서 사용하는 세입자
• 는 Fabrikam - 또한 HR 애플 리케이션 당신은 각 임차인이 응용 프로그램을 등록 할 필요가 없습니다

Answer 1

을 소비하는 Fabrikam의 조직에 의해 사용되는 세입자. 사실 은이 아니어야합니다. 주위에 수십 또는 수백 개의 고유 한 앱 ID가 떠있어 두통이 생기기 만합니다.

그러나 각 임차인은 관리자 동의 워크 플로를 실행해야합니다. 이렇게하면 끝에 등록한 앱 ID가 요청한 범위에 액세스 할 수있는 권한이 부여됩니다.

일반적으로 앱 등록에 v2 Endpoint 및 apps.dev.microsoft.com 포털을 사용하는 것이 좋습니다. 자신의 Active Directory에 앱을 등록 할 수도 있지만 포털을 사용하면 훨씬 쉽게 관리 할 수 ​​있습니다.

일반적인 프로세스는 다음과 같습니다

1. 가 마이크로 소프트 그래프 권한 섹션에서 "응용 프로그램 권한"을 채우는 Registration Portal

2. 에서 당신이 응용 프로그램을 등록합니다.

3. 시작 https://login.microsoftonline.com/common/adminconsent?client_id=[APPLICATION ID]&redirect_uri=[REDIRECT URI]

4. 맥주

팁 몇 받기 사용하여 관리자의 동의 워크로드 : 등록 포털은 MSA (즉 개인) 계정 지원

• 에게 그 순간. 이 목적을 위해 새 Outlook.com 계정을 만들면 내부적으로 필요한 자격 증명을 쉽게 공유 할 수 있습니다.

• 공유 Outlook.com 계정을 만드는 경우 내부적으로 모든 이해 당사자에 대한 전달 규칙도 설정해야합니다. 이것은 모든 것이 잘못되거나 도로를 변경해야 할 때를 대비하여 계정을 복구해야하는 경우입니다.

• 내가 도움이 될만한 v2 Endpoint과 Admin Consent 프라이머를 썼다. 사용자는 인증 코드 흐름을 사용한다고 가정하지만 클라이언트 자격 증명의 개념은 동일하게 유지됩니다.