Konfigurieren des Rollenanspruchs

  • Artikel

Sie können den Rollenanspruch im Zugriffstoken, das nach der Autorisierung einer Anwendung empfangen wird, anpassen. Verwenden Sie dieses Feature, wenn die Anwendung erwartet, dass in dem Token benutzerdefinierte Rollen übergeben werden. Sie können nach Bedarf beliebig viele Rollen hinzufügen.

Voraussetzungen

Hinweis

In diesem Artikel wird erläutert, wie Sie mithilfe von APIs Anwendungsrollen für den Dienstprinzipal erstellen, aktualisieren und löschen. Informationen zur Verwendung der neuen Benutzeroberfläche für App-Rollen finden Sie unter Hinzufügen von App-Rollen zu Ihrer Anwendung und Empfangen der Rollen im Token.

Suchen der Unternehmensanwendung

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Gehen Sie folgendermaßen vor, um die Unternehmensanwendung zu ermitteln:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.
  3. Geben Sie den Namen einer vorhandenen Anwendung in das Suchfeld ein, und wählen Sie die Anwendung in den Ergebnissen aus.
  4. Nachdem die Anwendung ausgewählt wurde, kopieren Sie die Objekt-ID aus dem Übersichtsbereich.

Hinzufügen von Rollen

Verwenden Sie den Microsoft Graph-Tester, um einer Unternehmensanwendung Rollen hinzuzufügen.

  1. Öffnen Sie Microsoft Graph Explorer in einem anderen Fenster und melden Sie sich mit Administrator-Anmeldeinformationen für Ihren Mandanten an.

    Hinweis

    Die Rollen „Cloud-App-Administrator“ und „App-Administrator“ funktionieren in diesem Szenario nicht. Für das Lesen und Schreiben von Verzeichnissen sind die Berechtigungen der Rolle „Globaler Administrator“ erforderlich.

  2. Wählen Sie Berechtigungen ändern und dann Einwilligung für und die Berechtigungen Application.ReadWrite.All und Directory.ReadWrite.All in der Liste aus.

  3. Ersetzen Sie <objectID> in der folgenden Anforderung durch die zuvor aufgezeichnete Objekt-ID, und führen Sie dann diese Abfrage aus:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Eine Unternehmensanwendung wird auch als Dienstprinzipal bezeichnet. Notieren Sie sich die appRoles-Eigenschaft aus dem zurückgegebenen Dienstprinzipalobjekt. Das folgende Beispiel zeigt eine typische appRoles-Eigenschaft:

    {
  "appRoles": [
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "msiam_access",
      "displayName": "msiam_access",
      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
      "isEnabled": true,
      "origin": "Application",
      "value": null
    }
  ]
}

  5. Ändern Sie im Graph-Tester die Methode von GET in PATCH.

  6. Kopieren Sie die zuvor notierte appRoles-Eigenschaft in den Bereich Anforderungstext des Graph-Testers, fügen Sie die neue Rollendefinition hinzu, und wählen Sie dann Abfrage ausführen aus, um den Patchvorgang zu starten. Die Erstellung der Rolle wird in einer Erfolgsmeldung bestätigt. Im folgenden Beispiel wird das Hinzufügen der Rolle Administrator gezeigt:

    {
  "appRoles": [
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "msiam_access",
      "displayName": "msiam_access",
      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
      "isEnabled": true,
      "origin": "Application",
      "value": null
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "Administrators Only",
      "displayName": "Admin",
      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
      "isEnabled": true,
      "origin": "ServicePrincipal",
      "value": "Administrator"
    }
  ]
}

    Sie müssen das Rollenobjekt msiam_access zusätzlich zu allen neuen Rollen im Anforderungstext einschließen. Wenn keine vorhandenen Rollen in den Anforderungstext eingeschlossen werden, werden sie aus dem appRoles-Objekt entfernt. Darüber hinaus können Sie Ihrer Organisation je nach Bedarf beliebig viele Rollen hinzufügen. Der Wert dieser Rollen wird als Anspruchswert in der SAML-Antwort gesendet. Um die GUID-Werte für die ID neuer Rollen zu generieren, verwenden Sie Webtools, z. B. den Online-Generator für GUIDs/UUIDs. Die appRoles-Eigenschaft in der Antwort enthält den Inhalt des Anforderungstexts der Abfrage.

Bearbeiten von Attributen

Aktualisieren Sie die Attribute, um den Rollenanspruch im Token zu definieren.

  1. Suchen Sie die Anwendung im Microsoft Entra Admin Center, und wählen Sie dann im linken Menü Einmaliges Anmelden aus.
  2. Wählen Sie im Abschnitt Attribute & Ansprüche die Option Bearbeiten aus.
  3. Wählen Sie Neuen Anspruch hinzufügen aus.
  4. Geben Sie im Feld Name den Attributnamen ein. In diesem Beispiel wird Rollenname als Anspruchsname verwendet.
  5. Lassen Sie das Feld Namespace leer.
  6. Wählen Sie in der Liste Quellattribut den Eintrag user.assignedroles aus.
  7. Wählen Sie Speichern. Das neue Attribut Rollenname sollte jetzt im Abschnitt Attribute & Ansprüche angezeigt werden. Der Anspruch sollte jetzt beim Anmelden bei der Anwendung im Zugriffstoken enthalten sein.

Zuweisen von Rollen

Nachdem der Dienstprinzipal mit weiteren Rollen gepatcht wurde, können Sie den jeweiligen Rollen Benutzer zuweisen.

  1. Suchen Sie die Anwendung, der die Rolle im Microsoft Entra Admin Center hinzugefügt wurde.
  2. Wählen Sie im linken Menü Benutzer und Gruppen und dann den/die Benutzer*in aus, dem bzw. der Sie die neue Rolle zuweisen möchten.
  3. Wählen Sie oben im Bereich Zuweisung bearbeiten aus, um die Rolle zu ändern.
  4. Wählen Sie Keine Ausgewählt, anschließend die Rolle in der Liste und dann Auswählen aus.
  5. Wählen Sie Zuweisen aus, um den Benutzer*innen die Rolle zuzuweisen.

Aktualisieren von Rollen

Führen Sie die folgenden Schritte aus, um eine vorhandene Rolle zu aktualisieren:

  1. Öffnen Sie den Microsoft Graph-Tester.

  2. Melden Sie sich an der Graph-Tester-Website mit den Anmeldeinformationen des globalen Administrators bzw. Co-Admins für Ihren Mandanten an.

  3. Ersetzen Sie in der folgenden Anforderung <objectID> durch die Objekt-ID für die Anwendung aus dem Übersichtsbereich, und führen Sie dann die Abfrage aus:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Notieren Sie sich die appRoles-Eigenschaft aus dem zurückgegebenen Dienstprinzipalobjekt.

  5. Ändern Sie im Graph-Tester die Methode von GET in PATCH.

  6. Kopieren Sie die zuvor notierte appRoles-Eigenschaft in den Bereich Anforderungstext des Graph-Testers, fügen Sie die aktualisierte Rollendefinition hinzu, und wählen Sie dann Abfrage ausführen aus, um den Patchvorgang zu starten.

Löschen von Rollen

Führen Sie die folgenden Schritte aus, um eine vorhandene Rolle zu löschen:

  1. Öffnen Sie den Microsoft Graph-Tester.

  2. Melden Sie sich an der Graph-Tester-Website mit den Anmeldeinformationen des globalen Administrators bzw. Co-Admins für Ihren Mandanten an.

  3. Ersetzen Sie im Azure-Portal in der folgenden Anforderung <objectID> durch Objekt-ID der Anwendung im Übersichtsbereich, und führen Sie dann die Abfrage aus:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Notieren Sie sich die appRoles-Eigenschaft aus dem zurückgegebenen Dienstprinzipalobjekt.

  5. Ändern Sie im Graph-Tester die Methode von GET in PATCH.

  6. Kopieren Sie die zuvor aufgezeichnete appRoles-Eigenschaft in den Bereich Anforderungstext des Graph-Testers, legen Sie den Wert IsEnabled für die Rolle, die Sie löschen möchten, auf false fest, und wählen Sie dann Abfrage ausführen aus, um den Patchvorgang zu starten. Rollen müssen zunächst deaktiviert werden, bevor sie gelöscht werden können.

  7. Löschen Sie diesen Rollenblock aus dem Abschnitt appRoles, nachdem die Rolle deaktiviert wurde. Behalten Sie als Methode PATCH bei, und wählen Sie Abfrage ausführen aus.

Nächste Schritte