У меня есть плагин Excel, который использует Azure AD (ADAL) для аутентификации. Я сделал вторую копию приложения и необходимые изменения в Azure AD. Все пользователи могут использовать первое приложение. Второе приложение: я единственный, кто может войти в систему. Они имеют те же права, что и в первом приложении. Что Azure дает как ошибку при входе в систему:
Код ошибки: 90094
Причина ошибки: Другое
Я не могу найти информацию об этой ошибке. То, что возвращается пользователю, - "Администратор должен предоставить привилегии этому приложению". Но привилегии даются. То же, что и в первом приложении.
Есть ли у вас информация для этого кода ошибки?
P.S. Я обнаружил, что это связано с требуемыми разрешениями приложения. Если я добавлю пользователя, который является глобальным администратором в Azure AD, после входа в систему появится окно "Приложение нуждается в разрешении на:... (Принять, Отменить)", и после этого он может использовать приложение, даже если он изменен на обычного пользователя. Если пользователь является обычным пользователем Azure AD, эти окна не отображаются, и он отклоняется с ошибкой 90094. То же самое происходит с пользователем, который является Ограниченным администратором, и не имеет значения, что для роли администратора он имеет.
P.S. 2
В моем запросе поддержки поддержка Microsoft не сообщила мне, что означает эта ошибка ( "Это настраиваемое приложение, и информация об этой ошибке отсутствует. Будет информация, если это было корпоративное приложение" ).
После удаления регистрации приложения и повторного запуска этой проблемы больше нет. И я не могу воспроизвести его (я очень старался:)). И если вы дадите мне ответ, я не могу это доказать. Поэтому вы можете посмотреть на этот вопрос как закрытый.
У меня была аналогичная проблема, где произошла ошибка, если кто-то, кроме глобального администратора, был тем, кто создал регистрацию приложения AAD. Он дошел до тонкой разницы в том, как Azure AD устанавливает разрешения для приложения на основе того, кто устанавливает разрешения приложения на старый портал управления. Я не знаю, есть ли у них эта проблема в новом портале диспетчера ресурсов, или если это даже тот же случай, с которым вы сталкиваетесь без дополнительной информации.
Найден решение здесь:
Как администратор, вы также можете разрешить делегированные разрешения приложения от имени всех пользователей вашего арендатора. Это предотвратит появление диалога согласия для каждого пользователя в арендаторе. Вы можете сделать это с портала Azure со своей страницы приложения. В диалоговом окне "Настройки" для вашего приложения нажмите "Требуемые разрешения" и нажмите кнопку "Разрешения для грантов".
Это сработало для меня.