圖形API - 與用戶同意守護程序

Question

我們想創造一個API應用程序（主要目的是聯繫我們的組織Office 365的圖形的端點和發送電子郵件）在Azure中。不過我們的前端網站不使用Azure的AD爲用戶認證。不過，我們希望我們的後端API，以便能夠發送電子郵件通過以下方式 1）發送電子郵件的任何用戶 2）代表服務帳戶發送電子郵件一個

我們試圖探索可能的選擇，並根據迄今爲止所做的調查，這（選項1）可以使用admin_consent完成 - 有人可以幫助我們需要遵循的步驟來創建這樣的應用程序和部署。

另外有一種方法，以創建沒有登錄屏幕的API的應用程序的API的執行期間被提示輸入 - 在使用USER_CONSENT？

Answer 1

選項1

爲了讓應用程序/守護程序發送電子郵件的任何用戶，它必須有發送郵件的任何用戶的應用程序權限。

提供對微軟圖形API的應用程序，權限，然後通過單擊授予權限按鈕，在門戶網站，或通過管理員的同意大流授予的權限。

你的API就可以與它的客戶端憑證進行身份驗證，並得到一個訪問令牌發送電子郵件。

這種方法的壞處應該是顯而易見的，應用程序獲得發送電子郵件的權利任何人在您的組織。

選項2

你可以在交替產生的API的帳戶，然後使用資源所有者密碼補助流量進行身份驗證。然後，您將授予發送電子郵件的委託權限作爲登錄用戶。

這個不好的一面是認證的流程。如果帳戶的密碼過期，您無法從此處重置密碼，則必須進行干預以解決問題。

同意

不能通過同意去沒有瀏覽器的用戶界面。