Waarom Azure Beheerdersgoedkeuring vereist is
Veel Business Central‑partners lopen tegen hetzelfde probleem aan: een klant probeert een S2S‑koppeling te activeren, maar krijgt de melding “Azure Beheerdersgoedkeuring vereist”. Logisch zou zijn dat Business Central de beheerder om toestemming vraagt, maar dat gebeurt niet. In plaats daarvan moet de klant een aparte admin‑consent URL openen.
In deze blog leg ik helder uit waarom Business Central geen approval‑prompt kan tonen en hoe je klanten zelf eenvoudig admin consent laat geven via een veilige URL. De uitleg is SEO‑vriendelijk, actief geschreven en gericht op IT‑professionals die met Business Central SaaS werken.
Waarom Business Central geen admin approval kan tonen
Business Central gebruikt voor S2S‑authenticatie een client credentials flow. Dat betekent:
- er is geen gebruiker betrokken
- er zijn Application permissions nodig
- deze permissies vereisen tenant‑wide admin consent
Microsoft staat niet toe dat zulke permissies via een interactieve loginflow worden goedgekeurd. Daarom kan Business Central nooit een pop‑up tonen waarin een beheerder toestemming geeft. De normale OAuth‑flow wordt automatisch geblokkeerd en eindigt in:
Waarom een URL wél werkt
Voor multitenant applicaties moet elke klanttenant expliciet toestemming geven via de speciale adminconsent‑endpoint. Alleen deze endpoint mag Application permissions goedkeuren.
De structuur van zo’n URL ziet er zo uit:
https://login.microsoftonline.com/common/adminconsent?client_id=JOUW-CLIENT-ID&redirect_uri=JOUW-REDIRECT-URIBusiness Central gebruikt standaard:
https://businesscentral.dynamics.com/OAuthLanding.htmAls redirect‑URI.
Hoe een Business Central‑gebruiker zelf admin consent geeft
Je hoeft geen ingewikkelde stappen uit te leggen. De klant hoeft alleen:
- In te loggen als Global Administrator
- De admin‑consent URL te openen
- De gevraagde permissies te accepteren
Daarna is de S2S‑koppeling direct actief.
Voorbeeld van een complete consent‑URL:
https://login.microsoftonline.com/common/adminconsent?client_id=xxxxxx-yyyyy-1234-a936-5678910&redirect_uri=https://businesscentral.dynamics.com/OAuthLanding.htmDeze link kan veilig gedeeld worden met de klant. Na goedkeuring wordt de beheerder automatisch teruggestuurd naar Business Central
Tekst die je direct naar klanten kunt sturen
Beste beheerder,
Voor het activeren van onze Business Central‑koppeling is eenmalige admin‑toestemming nodig.
Klik op onderstaande link terwijl u bent ingelogd als Global Administrator:
https://login.microsoftonline.com/common/adminconsent?client_id=xxxxxx-yyyyy-1234-a936-5678910&redirect_uri=https://businesscentral.dynamics.com/OAuthLanding.htm
Na het accepteren is de koppeling direct actief.
Gebruikers hoeven verder niets te doen.
Met vriendelijke groet,
Conclusie
Business Central kan geen admin approval vragen omdat S2S‑authenticatie werkt met Application permissions, en die mogen alleen via de adminconsent‑endpoint worden goedgekeurd. Daarom is een aparte URL noodzakelijk. Door deze URL aan de klant te geven, kan de beheerder zelf eenvoudig en veilig toestemming geven.
