管理员帐户的 Azure AD SSO 登录问题

Posted

技术标签:

【中文标题】管理员帐户的 Azure AD SSO 登录问题【英文标题】:Azure AD SSO login problem with admin account 【发布时间】:2022-01-15 18:01:09 【问题描述】:

我在 Azure AD 中注册了一个应用程序,原因如下。

Azure AD SSO(来自任何 Azure AD 目录) 读取用户、组及其成员

提供以下权限并获得管理员同意。

注意:我们仍然依赖于一些 Azure AD Graph API。因此,我们添加了旧版 API 权限。

我可以使用 REST API 联系 Azure AD 并获取用户、组和其他信息。

当我尝试从任何其他目录登录应用程序时,我会看到以下同意屏幕。我可以提供同意并继续登录。

但是,当我尝试登录到同一目录时,即使我使用 Azure AD 管理员登录,我也没有获得同意屏幕。卡在以下屏幕。

当我为 SSO 和 REST API 注册单独的应用程序时,不会出现此问题。

我想知道为什么我在结合 SSO 和 REST API 权限时卡在上面的屏幕中。

【问题讨论】:

请检查应用的应用角色分配,管理员是否有权访问应用数据。 【参考方案1】:

• 请检查是否已将正确的 Azure AD 角色分配给您的帐户 ID,即全局管理员、云应用程序管理员、应用程序管理员或应用程序对象的所有者,因为您需要这些角色之一才能访问应用程序。此外,请确保您已为您的帐户 ID 分配正确的应用程序角色分配,以便在 SSO 注册过程中允许管理员同意,如下所示:-

您可以通过企业应用程序刀片检查您的帐户 ID 的应用角色分配并在那里搜索您的应用程序,然后打开它并选择用户和组刀片,检查您的帐户 ID 对该应用程序的应用角色分配,同时此外,为 user_impersonification 提供“Azure 服务管理”api 权限,如下所示,从而确保您的帐户 ID 将具有正确的 API 权限。

一旦正确配置了上述设置,您应该能够通过您的管理员凭据访问应用程序。

【讨论】:

您好@Arasu RRK,如果我的回答对您有帮助,您可以点赞并接受它作为答案(点击答案旁边的复选标记,将其从灰色切换为已填充。)。这对其他社区成员可能是有益的。谢谢。 感谢您的更新。我还没有检查过这个解决方案。本周将尝试并更新。

以上是关于管理员帐户的 Azure AD SSO 登录问题的主要内容,如果未能解决你的问题,请参考以下文章

Azure AD SSO,未找到 login.live

教程:如何借助Azure AD和PCF的单点登录(SSO)简化云原生身份管理

Azure AD 链接帐户和备用登录映射

Azure AD 与 AWS IAM 集成实现SSO—上(Azure部分)

如何在 Azure AD B2C 中管理用户流之间的单个帐户/会话

使用 Azure Active Directory 或 ADFS 或 AD 的 SSO