管理员帐户的 Azure AD SSO 登录问题

Posted 2023-02-19

【中文标题】管理员帐户的 Azure AD SSO 登录问题

【英文标题】：Azure AD SSO login problem with admin account

【发布时间】：2022-01-15 18:01:09

【问题描述】：

我在 Azure AD 中注册了一个应用程序，原因如下。

Azure AD SSO（来自任何 Azure AD 目录） 读取用户、组及其成员

提供以下权限并获得管理员同意。

注意：我们仍然依赖于一些 Azure AD Graph API。因此，我们添加了旧版 API 权限。

我可以使用 REST API 联系 Azure AD 并获取用户、组和其他信息。

当我尝试从任何其他目录登录应用程序时，我会看到以下同意屏幕。我可以提供同意并继续登录。

但是，当我尝试登录到同一目录时，即使我使用 Azure AD 管理员登录，我也没有获得同意屏幕。卡在以下屏幕。

当我为 SSO 和 REST API 注册单独的应用程序时，不会出现此问题。

我想知道为什么我在结合 SSO 和 REST API 权限时卡在上面的屏幕中。

【问题讨论】：

请检查应用的应用角色分配，管理员是否有权访问应用数据。

【参考方案1】：

• 请检查是否已将正确的 Azure AD 角色分配给您的帐户 ID，即全局管理员、云应用程序管理员、应用程序管理员或应用程序对象的所有者，因为您需要这些角色之一才能访问应用程序。此外，请确保您已为您的帐户 ID 分配正确的应用程序角色分配，以便在 SSO 注册过程中允许管理员同意，如下所示：-

您可以通过企业应用程序刀片检查您的帐户 ID 的应用角色分配并在那里搜索您的应用程序，然后打开它并选择用户和组刀片，检查您的帐户 ID 对该应用程序的应用角色分配，同时此外，为 user_impersonification 提供“Azure 服务管理”api 权限，如下所示，从而确保您的帐户 ID 将具有正确的 API 权限。

一旦正确配置了上述设置，您应该能够通过您的管理员凭据访问应用程序。

【讨论】：

您好@Arasu RRK，如果我的回答对您有帮助，您可以点赞并接受它作为答案（点击答案旁边的复选标记，将其从灰色切换为已填充。）。这对其他社区成员可能是有益的。谢谢。

感谢您的更新。我还没有检查过这个解决方案。本周将尝试并更新。