我在Microsoft Entra中定义了一个多租户API。然后客户端可以通过oauth重定向向我的组织给予权限。一旦我完成了他们的租赁任务,我可以撤销客户端授予我的权限,或者我必须让客户端为我做这件事。这只是让客户端感觉更简单,管理麻烦更少。
我完全可以用
POST https://login.microsoftonline.com/{tenant_domain}/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials
client_id=MY_CLIENT_ID
client_secret=MY_CLIENT_SECRET
scope=https://outlook.office.com/IMAP.AccessAsUser.All字符串
access_token通过Entra上定义的回调返回,但我不知道是否可以自行撤销-这真的很方便!我知道没有办法撤销访问令牌。作为其撤销权限,这似乎不是一件不合理的事情安全明智的。
1条答案
按热度按时间2exbekwf1#
在Microsoft Entra中,无法自行撤消客户端授予您的应用程序的权限。客户端必须自行撤消权限。这是一种安全措施,可防止应用程序意外或恶意撤消其对客户端数据的访问权限。
为了使客户端更容易撤销权限,您可以向他们提供指向Microsoft Entra管理中心中的应用程序注册页面的链接,他们可以在其中查看和管理已向其租户授予管理员许可的所有应用程序。
为此,您可以使用以下步骤:
应用程序>应用程序注册>所有应用程序。
然后,客户端可以使用此链接查看和管理已授予您的应用程序的权限。要撤消权限,只需取消选中要撤消的权限的复选框,然后单击保存按钮。
您可能还需要考虑使用许可管理平台(CMP),以使客户端更轻松地管理他们授予应用程序的权限。CMP是一种第三方服务,可提供已授予客户端租户许可的所有应用程序的集中视图。然后,客户端可以使用CMP轻松撤销单个应用程序或应用程序组的权限。