Problema de inicio de sesión SSO de Azure AD con cuenta de administrador.
He registrado una única aplicación en Azure AD por las siguientes razones:
* Azure AD SSO (Desde cualquier directorio de Azure AD)
* Leer usuarios, grupos y sus miembros
He proporcionado los siguientes permisos y otorgado el consentimiento de administrador.
NOTA: Aún dependemos de algunos de los puntos de conexión de la API de Azure AD. Por lo tanto, hemos agregado los permisos de la API heredada.
Puedo comunicarme con Azure AD utilizando la API REST y obtener información sobre usuarios, grupos y otros datos.
Cuando intento iniciar sesión en la aplicación desde cualquier otro directorio, obtengo la siguiente pantalla de consentimiento. Puedo dar mi consentimiento y continuar con el inicio de sesión.
Sin embargo, cuando intento iniciar sesión en el mismo directorio, no obtengo la pantalla de consentimiento, incluso cuando inicio sesión con el administrador de Azure AD. Me quedo atrapado en la siguiente pantalla.
Cuando registro aplicaciones separadas para SSO y las API REST, este problema no ocurre.
Me gustaría saber por qué me quedo atrapado en la pantalla anterior cuando combino los permisos de SSO y las API REST.
davy.ai
Pregunta
¿Por qué me quedo atrapado en la pantalla de error de Azure AD al combinar SSO y permisos de la API REST en una sola aplicación de Azure AD, incluso cuando estoy registrado como administrador de Azure AD en el mismo directorio?
Respuesta
El problema puede deberse a permisos conflictivos configurados en la misma aplicación de Azure AD. Cuando una aplicación recibe permisos para leer y modificar usuarios y grupos, automáticamente recibe acceso a la API de Azure AD Graph. Sin embargo, la API de Graph de Azure AD ha sido reemplazada por la API de Graph de Microsoft, la cual tiene más capacidades y se recomienda para el desarrollo nuevo.
En este caso, al agregar permisos de las APIs heredadas a la aplicación de Azure AD y combinarlos con permisos de SSO, puede causar conflictos y dar lugar a problemas al iniciar sesión. Se recomienda registrar aplicaciones separadas para SSO y las APIs REST, lo cual ayuda a evitar estos conflictos y errores.
Además, es importante tener en cuenta que las pantallas de consentimiento no se muestran a los usuarios que han otorgado previamente el mismo consentimiento, lo cual podría ser la razón por la cual el administrador de Azure AD no ve la pantalla de consentimiento.