투명성을 위해 관리자와 최종 사용자에게 내 응용 프로그램을 AD 프로필에서 제거 할 수있는 기능을 제공하고자합니다.AzureAD 응용 프로그램이 어떻게 자체 동의를 취소 할 수 있습니까? (위임 된 응용 프로그램 권한 제거)
Microsoft는 관리자가 AzureAD powershell 명령 Remove-MSOLServicePrincipal을 사용하거나 Azure 관리 포털로 이동하기를 원합니다. 또는 최종 사용자는 앱 포털로 이동할 수 있습니다. 는 사용자가 여러 가지 조직이나 많은 응용 프로그램 권한을 갖습니다 가능성이 높습니다 때문에
, 내가 어떻게 할 수있는
합니다 (MSFT 포털이있는 사용자에게 알리는 동안) 응용 프로그램 내 일부에 대한 간단한 제거 옵션을 제공 할 클라이언트 자격증 명 부여 흐름 또는 인증 코드 부여 흐름에서 내 앱을 프로비저닝 해제 하시겠습니까?
동의 프로세스를 통해 응용 프로그램에 부여 된 사용 권한 범위는 OAuth2PermissionGrants 디렉터리에 저장됩니다.
응용 프로그램에 이러한 개체를 수정할 수있는 권한이있는 경우 Graph API를 사용하여 해당 응용 프로그램의 동의 레코드를 제거 할 수 있습니다.
이러한 개체는 세입자의 클라이언트 응용 프로그램의 서비스 사용자를 나타내는 특정 clientId에 연결됩니다. 따라서 우리는 귀하가 동의서를 신속하게 삭제할 수있는 방법으로 귀하의 세입자로부터 서비스 교장을 삭제하도록 요청하는 이유는 모든 OAuth2Permissions를 제거하기 때문입니다.
그래프 API를 사용하여 자신의 서비스 사용자를 삭제할 수도 있습니다. (나는 이것을 과거에 테스트했습니다). 위의 내용을 토대로 응용 프로그램의 모든 동의가 제거됩니다.
그러나 필자가 알고 있듯이 이러한 종류의 사용 권한은 Public Graph API 범위를 통해 기본적으로 지원되지 않습니다. 필자는 세입자의 회사 관리자 역할에 내 응용 프로그램을 추가하여 이러한 종류의 액세스 권한을 얻었으므로 공개 범위에서 사용할 수있는 것 이상의 그래프 액세스가 향상됩니다. 그러나 PowerShell 등을 사용해야 만 할 수 있습니다.이 시점에서 동일한 도구를 사용하여 서비스 주체를 삭제해도됩니다 ...
이 정보가 도움이되는지 알려주십시오!