Csak elméletben szeretnék kérdezni alkalmazás felépítés + Microsoft Graph API-val kapcsolatban.
Van egy webes alkalmazásom, amelynek van egy frontend és egy backend része. Jelenleg a Microsoft Graph API-t csak authentikációra használom. Azaz az Azure AD-ban van egy “alkalmazás”, ahol be van állítva, hogy a frontenden keresztül lehessen authentikálni a felületre. Van egy Azure AD csoport, ha a user ennek a csoportnak a tagja, akkor jogosult belépni az alkalmazásba. Ez most így szépen működik.
Viszont szeretnék készíteni egy olyan “admin” funkciót a frontendre, hogy ha új felhasználót hozzáadunk az AD csoporthoz, akkor a felület kilistázza azokat, akik nem lettek még felvéve és egy kattintással hozzá tudja adni az új felhasználót.
Viszont jelenleg az authentikációhoz nem szükséges az adott csoport tagjainak lekérdezése, anélkül is működik. Viszont az új “admin” funkciónál engedélyeznem kell a Group.Read.All jogosultságot (lehet a User.Read.All is kell majd).
A probléma itt kezdődik, hogy ha a frontend alkalmazásához adom hozzá a jogot, akkor az adott user, aki belépett az alkalmazásomba, ő ki fogja tudni szedni az accesToken-t és lekérdezéseket tud csinálni az AD-ban.
Jól gondolom, hogy ez így nem a legjobb megoldás? Regisztrálnom kellene még egy alkalmazást a backendnek erre, ahol ő maga végzi el az ilyen műveleteket és adja vissza a felvehető user listát?