Configuración de la notificación de rol

Artículo
02/07/2024

Puede personalizar la notificación de rol en el token de acceso que se recibe después de autorizar una aplicación. Use esta característica si la aplicación espera roles personalizados en el token. Puede crear tantos roles como sea necesario.

Requisitos previos

Una suscripción de Microsoft Entra con un inquilino configurado. Para más información, consulte Inicio rápido: configuración de un inquilino.
Una aplicación empresarial que se ha agregado al inquilino. Para obtener más información, consulte Inicio rápido: Agregar una aplicación empresarial.
Inicio de sesión único (SSO) configurado para la aplicación. Para más información, consulte Habilitación del inicio de sesión único para una aplicación empresarial.
Una cuenta de usuario que se asigna al rol. Para más información, vea Inicio rápido: Creación y asignación de una cuenta de usuario.

Nota

En este artículo, se explica cómo crear, actualizar o eliminar roles de aplicación en la entidad de servicio mediante las API. Para usar la nueva interfaz de usuario para roles de aplicación, consulte Añadir roles de aplicación a una aplicación y su recepción en el token.

Búsqueda de la aplicación empresarial

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Siga estos pasos para buscar la aplicación empresarial:

Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
Escriba el nombre de la aplicación existente en el cuadro de búsqueda y seleccione la aplicación existente en los resultados de la búsqueda.
Una vez seleccionada la aplicación, copie el identificador de objeto en el panel de información general.

Agregar roles

Utilice Microsoft Graph Explorer para agregar roles a una aplicación empresarial.

Abra el Explorador de Microsoft Graph en otra ventana e inicie sesión con las credenciales de administrador del inquilino.

Nota

Los roles de Administrador de aplicaciones en la nube y Administrador de aplicaciones no funcionarán en este escenario. Utilice el Administrador de roles con privilegios.
Seleccione Modificar permisos, seleccione Consentimiento para Application.ReadWrite.All y los Directory.ReadWrite.All permisos de la lista.
Reemplace <objectID> en la siguiente solicitud por el identificador de objeto que se registró anteriormente y, a continuación, ejecute la consulta:

https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

Una aplicación empresarial también se conoce como entidad de servicio. Registre la propiedad appRoles del objeto de entidad de servicio que se devolvió. En el ejemplo siguiente se muestra la propiedad típica appRoles:

JSON

{
  "appRoles": [
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "msiam_access",
      "displayName": "msiam_access",
      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
      "isEnabled": true,
      "origin": "Application",
      "value": null
    }
  ]
}

En el Explorador de Graph, cambie el método de OBTENER a REVISIÓN.
Copie la propiedad appRoles que se registró anteriormente en el panel Cuerpo de la solicitud del Explorador de Graph, agregue la nueva definición de roles y, a continuación, seleccione Ejecutar consulta para ejecutar la operación de revisión. Un mensaje confirma la creación del rol. En el ejemplo siguiente se muestra la incorporación de un rol Administrador:

JSON
```
{
  "appRoles": [
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "msiam_access",
      "displayName": "msiam_access",
      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
      "isEnabled": true,
      "origin": "Application",
      "value": null
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "Administrators Only",
      "displayName": "Admin",
      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
      "isEnabled": true,
      "origin": "ServicePrincipal",
      "value": "Administrator"
    }
  ]
}
```
Debe incluir el objeto de rol msiam_access además de los nuevos roles en el cuerpo de la solicitud. Si no se incluye los roles existentes en el cuerpo de la solicitud, se quitan del objeto appRoles. Además, puede agregar tantos roles como su organización necesite. El valor de estos roles se envía como valor de notificación en la respuesta de SAML. Para generar los valores GUID para el identificador de los nuevos roles, use las herramientas web, como el Generador de UUID / GUID en línea. La propiedad appRoles de la respuesta incluye lo que estaba en el cuerpo de la solicitud de la consulta.

Edición de atributos

Actualice los atributos para definir la notificación de rol que se incluye en el token.

Busque la aplicación en el centro de administración de Microsoft Entra y seleccione Inicio de sesión único en el menú de la izquierda.
En la sección Atributos y notificaciones, seleccione Editar.
Seleccione Agregar nueva notificación.
En el cuadro Nombre, escriba el nombre de atributo. En este ejemplo se utiliza Role Name como nombre de la notificación.
Deje el cuadro Espacio de nombres en blanco.
En la lista Atributo de origen, seleccione user.assignedroles.
Seleccione Guardar. El nuevo atributo Nombre de rol debería aparecer ahora en la sección Atributos y notificaciones. La notificación ahora debería incluirse en el token de acceso al iniciar sesión en la aplicación.

Asignación de roles

Una vez que haya revisado la entidad de servicio con más roles, podrá asignar usuarios a los roles correspondientes.

Busque la aplicación a la que se agregó el rol en el centro de administración de Microsoft Entra.
Seleccione Usuarios y grupos en el menú izquierdo y, a continuación, seleccione el usuario al que desee asignar el nuevo rol.
Seleccione Editar asignación en la parte superior del panel para cambiar el rol.
Seleccione Ninguno seleccionado, seleccione el rol de la lista y, a continuación, seleccione Seleccionar.
Seleccione Asignar para asignar el rol al usuario.

Actualizar roles

Para actualizar un rol existente, siga estos pasos:

Abra el Explorador de Microsoft Graph.
Inicie sesión en el sitio del Explorador de Graph como administrador de roles con privilegios.
Con el identificador de objeto de la aplicación desde el panel de información general, reemplace <objectID> por el en la siguiente solicitud y, a continuación, ejecute la consulta:

https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Registre la propiedad appRoles del objeto de entidad de servicio que se devolvió.
En el Explorador de Graph, cambie el método de OBTENER a REVISIÓN.
Copie la propiedad appRoles que se registró anteriormente en el panel Cuerpo de la solicitud del Explorador de Graph, agregue la actualización de la definición de roles y, a continuación, seleccione Ejecutar consulta para ejecutar la operación de revisión.

Eliminar roles

Para eliminar un rol existente, siga estos pasos:

Abra el Explorador de Microsoft Graph.
Inicie sesión en el sitio del Explorador de Graph como administrador de roles con privilegios.
Con el identificador de objeto de la aplicación desde el panel de información general de Azure Portal, reemplace <objectID> por el en la siguiente solicitud y, a continuación, ejecute la consulta:

https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Registre la propiedad appRoles del objeto de entidad de servicio que se devolvió.
En el Explorador de Graph, cambie el método de OBTENER a REVISIÓN.
Copie la propiedad appRoles que se registró anteriormente en el panel Cuerpo de la solicitud del Explorador de Graph, establezca el valor IsEnabled en Falso para el rol que desee eliminar y, a continuación, seleccione Ejecutar consulta para ejecutar la operación de revisión. Se deberá deshabilitar un rol para poder eliminarlo.
Una vez que el rol esté deshabilitado, elimine el bloque del rol de la sección appRoles. Mantenga el método REVISIÓN y seleccione Ejecutar consulta de nuevo.

Pasos siguientes

Para obtener información acerca de cómo personalizar notificaciones, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.

Recursos adicionales

Documentación

Configuración de notificaciones opcionales - Microsoft identity platform

Aprenda a configurar notificaciones y atributos opcionales en tokens de acceso emitidos por la plataforma de identidad de Microsoft; las notificaciones opcionales pueden agregar información de usuario útil para la aplicación.
Personalizar las solicitudes de token web JSON (JWT) de la aplicación - Microsoft identity platform

Aprenda a personalizar las notificaciones que emite la Plataforma de identidad de Microsoft en JSON Web Token (JWT) para aplicaciones empresariales.
Configuración de notificaciones de grupo y roles de aplicación en tokens

Aprenda a configurar definiciones de roles de aplicación y grupos de seguridad para mejorar la flexibilidad y el control, al tiempo que aumenta la seguridad de confianza cero de la aplicación con privilegios mínimos.
Configuración de notificaciones de grupo para aplicaciones mediante Microsoft Entra ID - Microsoft Entra ID

Obtenga información sobre cómo configurar notificaciones de grupo para su uso con Microsoft Entra ID.
Personalización de tokens

Aprenda sobre la información que puede recibir en los tokens de Microsoft Entra y cómo personalizarlos a fin de mejorar la flexibilidad y el control, y al mismo tiempo aumentar la seguridad de confianza cero para las aplicaciones con privilegios mínimos.
Personalización de las notificaciones de token de SAML - Microsoft identity platform

Aprenda a personalizar las notificaciones que emite la Plataforma de identidad de Microsoft en el token SAML para aplicaciones empresariales.
Personalización de notificaciones - Microsoft identity platform

Obtenga información sobre la directiva de notificaciones personalizada y los tipos de directiva de asignación de notificaciones, que se usan para modificar las notificaciones emitidas en tokens en la plataforma de identidad de Microsoft.
Personalización de notificaciones mediante la directiva de notificaciones personalizadas de Microsoft Graph (versión preliminar) - Microsoft identity platform

En este artículo se muestra cómo personalizar las notificaciones en Microsoft Entra ID mediante la directiva de notificaciones personalizadas.

Cursos

Módulo

Administración del acceso a aplicaciones en Microsoft Entra ID - Training

Este módulo se centra en administrar de forma eficaz las identidades y en mejorar la seguridad de Microsoft Enterprise Identity, garantizando que los usuarios, grupos e identidades externas estén protegidos contra amenazas de seguridad y acceso no autorizado.

Certificación

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.

Compartir a través de