注册
登录
区块链扩展技术
如何管理Azure AD用户的Azure AD App角色
返回
如何管理Azure AD用户的Azure AD App角色
作者:
樱花弄๑•ั็•็
发布时间:
2025-01-28 09:06:26 (11天前)
转自:
<p> <br/> 1:是否有人知道可以管理Azure AD中企业应用程序的Azure AD用户角色(清单中定义的appRoles)的角色分配工具?</p><p>我在谈论如何……<br/> <br/></p>
收藏
举报
2 条回复
0#
回复此人
青年@
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <BLOCKQUOTE> <P> 是否有人知道可以管理Azure AD用户角色的工具 </p> </BLOCKQUOTE> <P> AFAIK,没有任何特定工具可用于管理应用程序角色。 </p> <P> 总的来说,您应该能够使用以下选项来添加/编辑/更新与应用程序角色相关的选项,并为现有AD用户分配权限: </p> <P> 注意:如果您正在处理大量用户,也可以考虑将安全组分配给应用程序角色,而不是为单个用户执行此操作。这是一个值得考虑的选择,虽然它需要Azure AD高级许可证。 ( 的<strong> 更新 </强> - 另请参阅Philippe Signoret在本答案末尾的评论,其中包括将组分配到app角色,委派指定组的管理和 <a href="https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-self-service-management" rel="nofollow noreferrer"> 自助团体管理 </A> ) </p> <OL> <LI> <P> Azure Portal通过编辑应用程序清单json(你已经知道了) </p> </LI> <LI> <P> 电源外壳 - </p> <P> 我最后为这个添加了一个脚本。您可以在使用时创建新应用程序时执行此操作 <code> New-AzureADApplication </code> 或者使用的现有应用程序 <code> Set-AzureADApplication </code> 。 </p> <P> 要将这些角色分配给现有用户,您可以使用 <code> New-AzureADUserAppRoleAssignment </code> 正如我在下面显示的更新脚本。 </p> </LI> <LI> <P> Azure AD Graph API - </p> <P> 您可以使用AppRole类型和应用程序实体来自行管理应用程序角色。 <a href="https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/entity-and-complex-type-reference#approle-type" rel="nofollow noreferrer"> 文档在这里 </A> <a href="https://i.stack.imgur.com/eYlxG.png" rel="nofollow noreferrer"> <img src =“https://i.stack.imgur.com/eYlxG.png”alt =“在此处输入图片说明”/> </A> </p> <P> 您可以使用AppRoleAssignment Entity将这些角色分配给现有Azure AD用户等。 <a href="https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/entity-and-complex-type-reference#approleassignment-entity" rel="nofollow noreferrer"> 文档在这里 </A> </p> <P> <a href="https://i.stack.imgur.com/lzjev.png" rel="nofollow noreferrer"> <img src =“https://i.stack.imgur.com/lzjev.png”alt =“在此输入图像说明”/> </A> </p> </LI> <LI> <P> Microsoft Graph API - </p> <P> <a href="https://docs.microsoft.com/en-us/graph/api/resources/application?view=graph-rest-beta" rel="nofollow noreferrer"> 文档在这里 </A> - 请注意,这仅适用于测试版 - 因此它对于生产应用程序来说还不是很好。 </p> <P> 看这里 <a href="https://docs.microsoft.com/en-us/graph/api/resources/approleassignment?view=graph-rest-beta" rel="nofollow noreferrer"> 使用App角色分配 </A> </p> </LI> </醇> <P> 对于您的生产应用程序,您可以从json文件(git等源代码控制的一部分)中读取应用程序角色,并将其提供给PowerShell或Azure AD Graph API等编程选项之一。 </p> <P> 这是PowerShell脚本。另外看看这些SO Post,我们讨论了类似的东西,但仅限于PowerShell的范围。 </p> <P> <a href="https://stackoverflow.com/questions/51651889/how-to-add-app-roles-under-manifest-in-azure-active-directory-using-powershell-s/51663318#51663318"> SO Post 1 </A> </p> <P> <a href="https://stackoverflow.com/questions/52763036/azure-ad-app-updating-manifest-programmatically"> SO Post 2 </A> (这个问题讨论使用PowerShell解析json文件和更新应用程序清单) </p> <pre> <code> Connect-AzureAD -TenantId <Tenant GUID> # Create an application role of given name and description Function CreateAppRole([string] $Name, [string] $Description) { $appRole = New-Object Microsoft.Open.AzureAD.Model.AppRole $appRole.AllowedMemberTypes = New-Object System.Collections.Generic.List[string] $appRole.AllowedMemberTypes.Add("User"); $appRole.DisplayName = $Name $appRole.Id = New-Guid $appRole.IsEnabled = $true $appRole.Description = $Description $appRole.Value = $Name; return $appRole } # ObjectId for application from App Registrations in your AzureAD $appObjectId = "<Your Application Object Id>" $app = Get-AzureADApplication -ObjectId $appObjectId $appRoles = $app.AppRoles Write-Host "App Roles before addition of new role.." Write-Host $appRoles $newRole = CreateAppRole -Name "MyNewApplicationRole" -Description "This is my new Application Role" $appRoles.Add($newRole) Set-AzureADApplication -ObjectId $app.ObjectId -AppRoles $appRoles </code> </pre> <P> 完成上述脚本以添加AppRole后,将角色分配给用户非常简单,并且可以使用直接命令。这是一个示例脚本 - </p> <pre> <code> # Assign the values to the variables $username = "<You user's UPN>" $app_name = "<Your App's display name>" $app_role_name = "<App role display name>" # Get the user to assign, and the service principal for the app to assign to $user = Get-AzureADUser -ObjectId "$username" $sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'" $appRole = $sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name } # Assign the user to the app role New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -Id $appRole.Id </code> </pre> </DIV>
编辑
登录
后才能参与评论
