Configuración de la notificación de rol
Puede personalizar la notificación de rol en el token de acceso que se recibe después de autorizar una aplicación. Use esta característica si la aplicación espera roles personalizados en el token. Puede crear tantos roles como sea necesario.
Requisitos previos
- Una suscripción de Microsoft Entra con un inquilino configurado. Para más información, consulte Inicio rápido: configuración de un inquilino.
- Una aplicación empresarial que se ha agregado al inquilino. Para obtener más información, consulte Inicio rápido: Agregar una aplicación empresarial.
- Inicio de sesión único (SSO) configurado para la aplicación. Para más información, consulte Habilitación del inicio de sesión único para una aplicación empresarial.
- Una cuenta de usuario que se asigna al rol. Para más información, vea Inicio rápido: Creación y asignación de una cuenta de usuario.
Nota
En este artículo, se explica cómo crear, actualizar o eliminar roles de aplicación en la entidad de servicio mediante las API. Para usar la nueva interfaz de usuario para roles de aplicación, consulte Añadir roles de aplicación a una aplicación y su recepción en el token.
Búsqueda de la aplicación empresarial
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Siga estos pasos para buscar la aplicación empresarial:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
- Escriba el nombre de la aplicación existente en el cuadro de búsqueda y seleccione la aplicación existente en los resultados de la búsqueda.
- Una vez seleccionada la aplicación, copie el identificador de objeto en el panel de información general.
Agregar roles
Utilice Microsoft Graph Explorer para agregar roles a una aplicación empresarial.
Abra el Explorador de Microsoft Graph en otra ventana e inicie sesión con las credenciales de administrador del inquilino.
Nota:
Los roles de Administrador de aplicaciones en la nube y Administrador de aplicaciones no funcionarán en este escenario. Utilice el Administrador de roles con privilegios.
Seleccione Modificar permisos, seleccione Consentimiento para
Application.ReadWrite.All
y losDirectory.ReadWrite.All
permisos de la lista.Reemplace
<objectID>
en la siguiente solicitud por el identificador de objeto que se registró anteriormente y, a continuación, ejecute la consulta:https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Una aplicación empresarial también se conoce como entidad de servicio. Registre la propiedad appRoles del objeto de entidad de servicio que se devolvió. En el ejemplo siguiente se muestra la propiedad típica appRoles:
{ "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "isEnabled": true, "origin": "Application", "value": null } ] }
En el Explorador de Graph, cambie el método de OBTENER a REVISIÓN.
Copie la propiedad appRoles que se registró anteriormente en el panel Cuerpo de la solicitud del Explorador de Graph, agregue la nueva definición de roles y, a continuación, seleccione Ejecutar consulta para ejecutar la operación de revisión. Un mensaje confirma la creación del rol. En el ejemplo siguiente se muestra la incorporación de un rol Administrador:
{ "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "isEnabled": true, "origin": "Application", "value": null }, { "allowedMemberTypes": [ "User" ], "description": "Administrators Only", "displayName": "Admin", "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff", "isEnabled": true, "origin": "ServicePrincipal", "value": "Administrator" } ] }
Debe incluir el objeto de rol
msiam_access
además de los nuevos roles en el cuerpo de la solicitud. Si no se incluye los roles existentes en el cuerpo de la solicitud, se quitan del objeto appRoles. Además, puede agregar tantos roles como su organización necesite. El valor de estos roles se envía como valor de notificación en la respuesta de SAML. Para generar los valores GUID para el identificador de los nuevos roles, use las herramientas web, como el Generador de UUID / GUID en línea. La propiedad appRoles de la respuesta incluye lo que estaba en el cuerpo de la solicitud de la consulta.
Edición de atributos
Actualice los atributos para definir la notificación de rol que se incluye en el token.
- Busque la aplicación en el centro de administración de Microsoft Entra y seleccione Inicio de sesión único en el menú de la izquierda.
- En la sección Atributos y notificaciones, seleccione Editar.
- Seleccione Agregar nueva notificación.
- En el cuadro Nombre, escriba el nombre de atributo. En este ejemplo se utiliza Role Name como nombre de la notificación.
- Deje el cuadro Espacio de nombres en blanco.
- En la lista Atributo de origen, seleccione user.assignedroles.
- Seleccione Guardar. El nuevo atributo Nombre de rol debería aparecer ahora en la sección Atributos y notificaciones. La notificación ahora debería incluirse en el token de acceso al iniciar sesión en la aplicación.
Asignación de roles
Una vez que haya revisado la entidad de servicio con más roles, podrá asignar usuarios a los roles correspondientes.
- Busque la aplicación a la que se agregó el rol en el centro de administración de Microsoft Entra.
- Seleccione Usuarios y grupos en el menú izquierdo y, a continuación, seleccione el usuario al que desee asignar el nuevo rol.
- Seleccione Editar asignación en la parte superior del panel para cambiar el rol.
- Seleccione Ninguno seleccionado, seleccione el rol de la lista y, a continuación, seleccione Seleccionar.
- Seleccione Asignar para asignar el rol al usuario.
Actualizar roles
Para actualizar un rol existente, siga estos pasos:
Abra el Explorador de Microsoft Graph.
Inicie sesión en el sitio del Explorador de Graph como administrador de roles con privilegios.
Con el identificador de objeto de la aplicación desde el panel de información general, reemplace
<objectID>
por el en la siguiente solicitud y, a continuación, ejecute la consulta:https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Registre la propiedad appRoles del objeto de entidad de servicio que se devolvió.
En el Explorador de Graph, cambie el método de OBTENER a REVISIÓN.
Copie la propiedad appRoles que se registró anteriormente en el panel Cuerpo de la solicitud del Explorador de Graph, agregue la actualización de la definición de roles y, a continuación, seleccione Ejecutar consulta para ejecutar la operación de revisión.
Eliminar roles
Para eliminar un rol existente, siga estos pasos:
Abra el Explorador de Microsoft Graph.
Inicie sesión en el sitio del Explorador de Graph como administrador de roles con privilegios.
Con el identificador de objeto de la aplicación desde el panel de información general de Azure Portal, reemplace
<objectID>
por el en la siguiente solicitud y, a continuación, ejecute la consulta:https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Registre la propiedad appRoles del objeto de entidad de servicio que se devolvió.
En el Explorador de Graph, cambie el método de OBTENER a REVISIÓN.
Copie la propiedad appRoles que se registró anteriormente en el panel Cuerpo de la solicitud del Explorador de Graph, establezca el valor IsEnabled en Falso para el rol que desee eliminar y, a continuación, seleccione Ejecutar consulta para ejecutar la operación de revisión. Se deberá deshabilitar un rol para poder eliminarlo.
Una vez que el rol esté deshabilitado, elimine el bloque del rol de la sección appRoles. Mantenga el método REVISIÓN y seleccione Ejecutar consulta de nuevo.
Pasos siguientes
- Para obtener información acerca de cómo personalizar notificaciones, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.