148 views(since 2013/10/08)

AAD(Azure Active Dirctory) OAuth Application(Multi Tenant) ConcentUIのエラーについて

概要

AAD (Azure Active Dicrectory) のOAuth Application(アプリ)はアクセスを許可(承認)するためには、ConcentUI(コンセントUI)で許可する必要があります。

重要:組織で一度だけでOKです。

一般ユーザではConcent UIが表示されないように使用変更されたので
※Mutlti Tenant(マルチテナント) のみだと思われる?(Single Tenant未確認)

Global Administrator(全体管理者)がOrganization(組織)に許可しなければならない。

組織に許可すると一般ユーザはConcentUIが不要になるためくログインできるようになります。

現象

1. AAD Application (Mutli Tenant) でユーザがログインする

aadoauthconsetui0010

2. Concent UIが表示できずに以下のエラーが表示される。

AADSTS90093: User cannot consent to web app requesting user impersonation as an app permission.

aadoauthconsetui0020

 

解決方法

1. “prompt=admin_consent” をURL Parmaetert付でApplication(アプリ)を認証します。

例)重要:組織で一度だけでOKです。

https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&prompt=admin_consent&client_id=beebf982-a44d-4f0b-8cc8-c1e3a72ca8ab

2. Global Administrator(全体管理者) でログインします。

aadoauthconsetui0030

 

3. 管理者用のConcent UIが表示されますので組織に承認します。

aadoauthconsetui0040

 

4. 一般のユーザでログインしてもConcent UIが表示されなくなりますので、エラーが表示されなくなります。

 

参考

  1. Azure Active Directory の Common Consent Framework (Client 側)
  2. v2.0 endpoint の OAuth を使った Client 開発 (Azure AD と MSA への対応)
  3. Update to Graph API consent permissions
  4. Managing user consent for applications using Office 365 APIs

Filed Under: AzureOffice Add-insOffice365アプリ

Tags:

About the Author

野呂清二(ご連絡はこちらまで (http://www.exceedone.co.jp/inquiry/)

Leave a Reply




If you want a picture to show with your comment, go get a Gravatar.