代理通常需要代表使用该代理的用户执行作。 为此,交互式代理需要使用 OAuth 协议从用户请求委托的授权。 代理还可以从 Microsoft Entra ID 管理员请求授权,他们可以向其租户中的所有用户授予代理授权。
本文逐步讲解使用代理标识向管理员请求同意的过程。
先决条件
在请求管理员授权之前,请确保具备:
- 代理标识
- 为您的代理身份配置的代理应用程序
- 具有
Application.ReadWrite.OwnedBy委派权限的访问令牌。 了解委派权限与应用程序权限之间的差异 - 管理员访问权限以授予应用程序权限的许可
构造授权请求 URL
若要授予委派的权限,请构造用于提示管理员的授权 URL。 请确保在以下请求中使用代理标识 ID。
https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/adminconsent
?client_id=<agent-identity-id>
&scope=User.Read
&redirect_uri=https://entra.microsoft.com/TokenAuthorize
&state=xyz123