在完成 ABP 如何使用 Azure Active Directory 驗證登入 的基本設定後,
有時候 Web 應用程式的使用者在登入時,可能會遇到「需要管理員核准(admin consent required)」的提示訊息,如下圖所示。這個狀況常常讓一般使用者感到疑惑,也會影響整體使用體驗。
這個問題大多與 Microsoft Entra ID(原 Azure AD)中的同意(Consent)與權限(Permissions)設定有關。預設情況下,系統會要求管理員來核准應用程式所需的權限,尤其是在應用程式要求較高等級的 API 權限時。因此,如果沒有進行適當的設定,一般使用者在登入時就會反覆看到這個提示,無法自行完成同意流程。
為了讓一般使用者可以順利登入,而不需要每次都請管理員來核准,建議依照下方步驟調整 User Consent 權限設定。透過這些設定,可以有效降低管理員負擔,提升整體應用程式的易用性與彈性。
1.前往 Microsoft Entra ID => Enterprise applications => Consent and permissions (在 Security 區段)
2.將原本的「Do not allow user consent」設定,調整為「Allow user consent for apps from verified publishers, for selected permissions (Recommended)」或
「Allow user consent for apps」。如下圖所示:
1.若應用程式在 App Registrations 的 API permissions 權限設定中有標示「需要管理員授權(Grant)」的項目,請先由管理員進行授權。另外,請確保 Redirect URIs 也已正確設定。
2.有些 App 如果在 Enterprise applications 找不到,請在應用程式註冊 (App Registrations) 中 App 的 Overview ,Managed application in local directory點選 Create Service Principal 去建立
3.如果 App 有在Enterprise applications中,但它的Application type不是Enterprise Applications,請在Enterprise applications中將它刪除,再執行上述第 2 點重新建立它就可以了
App Registration vs Enterprise Applications
Application and service principal objects in Microsoft Entra ID
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
評論