在AAD中定义应用范围

Question

在AAD中定义应用程序作用域似乎有两种不同的机制: appRoles通过清单更新，oauth2Permissions通过应用程序注册、公开API选项卡。第一个是唯一允许应用程序作用域(allowedMemberType: Application)的应用程序权限选项卡-应用程序注册中的API权限选项卡似乎只允许委派的用户权限。我解释得对吗？这听起来相当令人困惑。

Answer 1

appRoles通过舱单

我们可以通过清单定义用户角色和应用程序角色。我们可以看到应用程序权限下的应用程序角色。客户凭证流使用应用程序权限。

我们无法在委托用户权限下找到用户角色，因为这里没有使用这些角色。角色分配给企业应用程序选项卡下的特定用户，开发人员需要为不同角色授予不同的逻辑代码。

oauth2Permissions通过应用程序注册

我们只能在这里添加委托权限。此权限适用于所有用户，而不是特定用户。当用户登录时，将要求他们同意权限。