Jak przydzielić uprawnienia przy użyciu usługi Azure Active Directory PowerShell V2

Question

Skryptowałem tworzenie mojej aplikacji usługi Active Directory Azure przy użyciu Azure Active Directory PowerShell V2 i próbuję użyć uprawnień delegowanych w mojej aplikacji strony pojedynczej (SPA), używając niejawnego przepływu do wywoływania API z zdefiniowanymi Role aplikacji.

Jakie polecenia PowerShell muszę użyć do replikacji przycisk 'udzielić uprawnień' w portalu Azure pod Ustawienia aplikacji:

Według Docs:

Udzielanie wyraźna zgoda przy użyciu przycisku Udziel uprawnień jest obecnie wymagana w przypadku aplikacji jednokierunkowych (SPA) przy użyciu ADAL.js, ponieważ żądany jest token dostępu bez wezwania do zgody, co nie powiedzie się, jeśli zgoda nie zostanie jeszcze przyznana.

Ponadto, w jaki sposób można stwierdzić, czy uprawnienia zostały przyznane, czy nie? Przycisk jest zawsze klikalny? Okropny UX, jeśli mnie zapytasz.

Answer 1

Ten przycisk skutecznie wykonuje zgodę administratora. Pozwoli to na wszystkich użytkowników najemcy. W przypadku Twojego przypadku możesz wymusić zgodę w SPA, a nie w PowerShell, jeśli chcesz uniknąć Azure Portal.

Aby to zrobić, Twoje SPA powinno dołączyć na żądanie autoryzacji &prompt=consent lub &prompt=admin_consent. To pierwsze powinno być stosowane za każdym razem, gdy nowy użytkownik loguje się po raz pierwszy, podczas gdy drugie może zrobić jeden raz (zaloguj się z kontem administratora) i zgodziłoby się na wszystkich użytkowników.

Zamówienie understanding Admin and User Consent.