0

Fehler “Authorization_RequestDenied” beim Zugriff auf Azure Active Directory über Graph-API

Zugegebenermaßen konnte ich das gesamte Fehlerbild noch nicht komplett analysieren. Nachdem ich jedoch viele Hilfeartikel im Internet gefunden habe und diese zumeist, eine in meinen Augen, überzogenen Lösung formulieren möchte ich an dieser Stelle meine Lösung für den Fehler beschreiben. Ich vermute das trifft auf viele weitere Fälle ebenso zu wie auf meinen. Zunächst erläutere ich aber kurz das zugrundeliegende Szenario und wie das Fehlerbild in meiner Umgebung entstanden ist. Für die Anbindung einer 3rd party Onpremis Anwendung an das Azure Active Directory wurde mir eine Dokumentation für die Konfiguration einer „Registrierten App“ ausgehändigt. Über diese App bzw. diesen logischen Endpunkt ist die Anwendung in der Lage Benutzerkonten im Azure AD zu provisionieren. In einer Testumgebung wurde dies schließlich vor einigen Wochen über das Azure Classic Portal implementiert und erfolgreich getestet.

Bei der Einrichtung eines weiteren Azure Tenants wurde die App ebenfalls definiert um schließlich auch dort Benutzerkonten zu verwalten. Die App wurde exakt nach demselben Muster, jedoch im neuen Azure Portal angelegt. Bei der Verbindung der 3rd party Anwendung mit dem App Endpunk erhielt ich jedoch die Fehlermeldung „Authorization_RequestDenied“.

Die meisten gefundenen Hilfetexte wie z.B. https://blogs.msdn.microsoft.com/wriju/2016/07/20/error-authorization_requestdenied-while-editing-azure-ad-object/ beschreiben das Problem. Die Lösung ist es die App der Rolle „Company Administrator“ oder „User Administrator“ zuzuweisen. Doch genau darin sehe ich am Ende einige bedenken. Um etwas genauer auf das Problem einzugehen habe ich der App eine der Rollen zugewiesen. Schließlich wurde ich dazu in die Lage versetzt meine 3rd party Anwendung nun mit dem App Endpunkt zu verbinden. Ich wollte das ganze so jedoch nicht akzeptieren zumal ich der Anwendung auch ohne die Rollenzuweisung sehr viele Berechtigungen erteilt habe.

Darum habe ich die Gruppen wieder entfernt und die Anbindung erneut versucht. Leider genauso erfolglos wie zuvor. Schließlich habe ich wieder und wieder die Konfiguration überprüft und irgendwann eine Schaltfläche entdeckt (siehe Screenshot).

Bei betätigen der Schaltfläche erscheint folgender Hinweis:

Einige Minuten später konnte die 3rd party Anwendung den Endpunkt nutzen ohne das eine spezielle Rolle zugewiesen werden musste.

beuermann

Schreibe einen Kommentar