Поделиться через


Настройка утверждения роли

Вы можете настроить утверждение роли в маркере доступа, полученном после того, как приложение авторизовано. Используйте эту функцию, если приложение ожидает пользовательские роли в маркере. Можно создать любое количество ролей.

Необходимые компоненты

Примечание.

В этой статье объясняется, как создавать, обновлять или удалять роли приложений в субъекте-службе с помощью API. Чтобы использовать новый пользовательский интерфейс для ролей приложений, см. статью "Добавление ролей приложения в приложение" и их получение в маркере.

Поиск корпоративного приложения

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы найти корпоративное приложение, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
  3. Введите имя существующего приложения в поле поиска и выберите приложение из результатов поиска.
  4. После выбора приложения скопируйте идентификатор объекта из области обзора.

Добавить роли

Используйте Microsoft Graph Explorer для добавления ролей в корпоративное приложение.

  1. Откройте Microsoft Graph Explorer в другом окне и войдите с помощью учетных данных администратора для клиента.

    Примечание.

    Роль администратора облачных приложений и администратора приложений не будет работать в этом сценарии, используйте администратора привилегированных ролей.

  2. Выберите пункт "Изменить разрешения", выберите "Согласие" и Application.ReadWrite.AllDirectory.ReadWrite.All "Разрешения" в списке.

  3. Замените <objectID> в следующем запросе идентификатором объекта, который был записан ранее, а затем выполните запрос:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Корпоративное приложение также называется субъектом-службой. Запишите свойство appRoles из возвращаемого объекта субъекта-службы. В следующем примере показано типичное свойство appRoles:

    {
      "appRoles": [
        {
          "allowedMemberTypes": [
            "User"
          ],
          "description": "msiam_access",
          "displayName": "msiam_access",
          "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
          "isEnabled": true,
          "origin": "Application",
          "value": null
        }
      ]
    }
    
  5. В обозревателе Graph измените метод с GET на PATCH.

  6. Скопируйте свойство appRoles, которое было записано ранее в области текста запроса в обозревателе Graph, добавьте новое определение роли и нажмите кнопку "Выполнить запрос" , чтобы выполнить операцию исправления. Сообщение об успешном выполнении подтверждает создание роли. В следующем примере показано добавление роли администратора .

    {
      "appRoles": [
        {
          "allowedMemberTypes": [
            "User"
          ],
          "description": "msiam_access",
          "displayName": "msiam_access",
          "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
          "isEnabled": true,
          "origin": "Application",
          "value": null
        },
        {
          "allowedMemberTypes": [
            "User"
          ],
          "description": "Administrators Only",
          "displayName": "Admin",
          "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
          "isEnabled": true,
          "origin": "ServicePrincipal",
          "value": "Administrator"
        }
      ]
    }
    

    В тексте запроса необходимо включить msiam_access объект роли в дополнение к новым ролям. Сбой включения существующих ролей в текст запроса удаляет их из объекта appRoles . Кроме того, вы можете добавить столько ролей, сколько необходимо вашей организации. Значение этих ролей отправляется в качестве значения утверждения в ответе SAML. Чтобы создать значения GUID для идентификатора новых ролей, используйте веб-инструменты, такие как генератор GUID или UUID в Сети. Свойство appRoles в ответе включает то, что было в тексте запроса запроса.

Изменение атрибутов

Обновите атрибуты, чтобы определить утверждение роли, включенного в маркер.

  1. Найдите приложение в Центре администрирования Microsoft Entra, а затем выберите единый вход в меню слева.
  2. В разделе "Атрибуты и утверждения" выберите "Изменить".
  3. Выберите Добавить новое утверждение.
  4. В поле "Имя" введите имя атрибута. В этом примере в качестве имени утверждения используется имя роли.
  5. Оставьте пустым поле Пространство имен.
  6. В списке атрибутов источника выберите user.assignedroles.
  7. Выберите Сохранить. Новый атрибут имени роли теперь должен отображаться в разделе "Атрибуты и утверждения ". Теперь утверждение должно быть включено в маркер доступа при входе в приложение.

Назначение ролей

Добавив новые роли в субъект-службу, вы сможете назначить эти роли пользователям.

  1. Найдите приложение, в которое была добавлена роль в Центре администрирования Microsoft Entra.
  2. Выберите пользователей и группы в меню слева, а затем выберите пользователя, которого вы хотите назначить новую роль.
  3. Выберите "Изменить назначение " в верхней части области, чтобы изменить роль.
  4. Выберите "Не выбрано", выберите роль из списка и нажмите кнопку "Выбрать".
  5. Нажмите кнопку " Назначить" , чтобы назначить роль пользователю.

Обновление ролей

Чтобы обновить существующую роль, сделайте следующее:

  1. Откройте Microsoft Graph Explorer.

  2. Войдите на сайт Graph Explorer в качестве администратора привилегированных ролей.

  3. Используя идентификатор объекта для приложения из области обзора, замените <objectID> его следующим запросом, а затем выполните запрос:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Запишите свойство appRoles из возвращаемого объекта субъекта-службы.

  5. В обозревателе Graph измените метод с GET на PATCH.

  6. Скопируйте свойство appRoles, которое было записано ранее в области текста запроса в обозревателе Graph, добавьте обновление определения роли, а затем нажмите кнопку "Выполнить запрос" , чтобы выполнить операцию исправления.

Удаление ролей

Чтобы удалить существующую роль, выполните указанные ниже действия.

  1. Откройте Microsoft Graph Explorer.

  2. Войдите на сайт Graph Explorer в качестве администратора привилегированных ролей.

  3. Используя идентификатор объекта для приложения из области обзора в портал Azure, замените <objectID> его следующим запросом, а затем выполните запрос:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Запишите свойство appRoles из возвращаемого объекта субъекта-службы.

  5. В обозревателе Graph измените метод с GET на PATCH.

  6. Скопируйте свойство appRoles, которое было записано ранее в области текста запроса в обозревателе Graph, задайте значение IsEnabled значение false для роли, которую требуется удалить, а затем нажмите кнопку "Выполнить запрос", чтобы выполнить операцию исправления. Роль должна быть отключена, прежде чем ее можно удалить.

  7. Когда роль будет отключена, удалите этот блок роли из раздела appRoles. Сохраните метод как PATCH и снова нажмите кнопку "Выполнить запрос ".

Следующие шаги