azure - 如何为下游应用程序设置Azure AD应用程序权限？

Question

我们需要为以下场景设置 Azure AD 应用程序权限。

有多个客户端应用程序调用支持应用程序。支持应用程序的作用是围绕 Web API 调用创建抽象，以使客户端应用程序变得轻便。

问题是我们需要跟踪当调用从支持应用程序发送到应用程序 WebAPI 时，哪个客户端应用程序进行了调用。

我们应该如何在 Azure AD 中注册我们的应用程序才能实现这一目标？

• ClientApp 是否需要向支持应用程序和应用程序 WebAPI 添加应用程序权限？
• 是否ClientApp只需要向Supporting App添加权限，Supporting App需要向Application WebAPI添加权限？

Answer 1

• 由于客户端应用程序将访问支持应用程序来执行特定任务或调用或执行某些功能，因此客户端应用程序应该有权相应地访问支持应用程序的 API 和数据流。客户端应用程序应该有权使用支持应用程序的 API，以便通过它调用 Web API。因此，您需要创建“应用角色”并向客户端应用分配范围以访问支持的应用 API，然后创建“应用角色”和适当的范围从支持应用程序访问 Web API。

• 因此，您需要注册每个客户端应用程序、支持应用程序以及要通过 Azure AD 中的支持应用程序访问的 Web API。注册后，请确保您已为每个客户端应用程序创建所需的“应用程序角色”，并且通过“应用程序权限”授予客户端应用程序访问具有所需范围的支持应用程序的权限'。此外，请确保发送到支持应用程序以通过其访问 Web API 的请求中包含支持应用程序凭据。同样，您需要在 Azure AD 中支持应用程序 API 中配置上述内容。

请找到下面的文档链接，其中详细解释了添加访问 Web API 的权限的上述步骤:-

https://learn.microsoft.com/en-us/azure/active-directory/develop/quickstart-configure-app-access-web-apis