Azure ADは、ユーザー/管理者にアプリケーションのアクセス許可を変更した後に再同意するように促します。

Question

Azure ADを使用してユーザーを認証するSaaSアプリケーションを構築しています。 私は、同意のプロンプト中にユーザーから委任された1つの許可を要求しており、ユーザーが同意するとします。

後で私のアプリケーションでは、より多くの委任されたアクセス許可を取得する必要があります。その場合、どのようにしてユーザーに同意ページを再度表示させるのですか？私はアクセス許可が変更されているときにこれを1回だけしたいと思います。

認証ページにリダイレクトしているときに、各ユーザーが同意したアクセス許可を追跡して、prompt=admin_consentクエリパラメータを追加することを決定する必要がありますか？

Answer 1

prompt=admin_consentは、管理者が組織の同意を必要とする場合に使用されます。ユーザーの同意が必要な場合は、prompt=consentを使用してください。

もう1つの方法は、ログインページにリダイレクトして、新しいAPIを呼び出す権限がないためにアプリが例外を取得したときにプロンプ​​トパラメータを追加して再同意できるようにすることです。

また、インクリメンタルおよびダイナミック同意をサポートするV2.0エンドポイントの使用を検討することもできます。

Hereは、参照用にAzure AD V2.0エンドポイントに関するドキュメントです。