Permisos de Microsoft Entra

Al registrar cualquier aplicación de Microsoft Entra, le concede permiso para acceder a varias API. A medida que cambien sus necesidades, es posible que desee ajustar estos permisos. Este artículo le muestra cómo.

Nota:

Los permisos de aplicación de Microsoft Entra solo se aplican a estos escenarios:

• Insertar para la organización
• Insertar para los clientes con el método de autenticación de usuario maestro

Edición de la configuración de permisos en aplicaciones de Microsoft Entra

Los cambios en los permisos se pueden realizar mediante programación o en Azure Portal.

Azure Portal

En Azure Portal, puede ver la aplicación y realizar cambios en los permisos.

1. Inicie sesión en Azure Portal.

2. Elija el inquilino de Microsoft Entra, para lo que debe seleccionar su cuenta en la esquina superior derecha de la página.

3. Seleccione App registrations (Registros de aplicaciones). Si no puede ver esta opción, búsquela.

4. En la pestaña Aplicaciones propias, seleccione la aplicación. La aplicación se abre en la pestaña Información general, donde puede revisar el valor Id. de la aplicación.

5. Seleccione la pestaña Ver permisos de API.

   

6. Seleccione Agregar un permiso.

7. Para agregar permisos, siga estos pasos (tenga en cuenta que el primer paso es diferente para las aplicaciones de GCC):

   1. En la pestaña API de Microsoft, seleccione Servicio Power BI.

      Nota

      Para las aplicaciones GCC, seleccione la pestaña API usadas en mi organización y busque Microsoft Power BI Government Community Cloud o fc4979e5-0aa5-429f-b13a-5d1365be5566.

   2. Seleccione Permisos delegados, y agregue o quite los permisos específicos que necesite.

   3. Cuando haya terminado, seleccione Agregar permisos para guardar los cambios.

8. Para quitar un permiso, siga estos pasos:

   1. Seleccione los puntos suspensivos (…) situados a la derecha del permiso.

   2. Seleccione Quitar permiso.

   3. En la ventana emergente Quitar permiso, seleccione Sí, quitar.

HTTP

Para cambiar los permisos de aplicación de Microsoft Entra mediante programación, deberá obtener las entidades de servicio (usuarios) existentes en el inquilino. Para información sobre cómo hacerlo, consulte servicePrincipal.

1. Para obtener todas las entidades de servicio del inquilino, llame a la API Get servicePrincipal sin {ID}.

2. Busque una entidad de servicio con el Id. de la aplicación de su aplicación como propiedad appId. (displayName es opcional).

   Post https://graph.microsoft.com/v1.0/servicePrincipals HTTP/1.1
   Authorization: Bearer ey..qw
   Content-Type: application/json
   {
   "accountEnabled" : true,
   "appId" : "{App_Client_ID}",
   "displayName" : "{App_DisplayName}"
   }
   

3. Conceda permisos de Power BI a la aplicación. Para ello, asigne uno de estos valores a consentType:

   • AllPrincipals: solo lo puede usar un administrador de Power BI para conceder permisos en nombre de todos los usuarios del inquilino.

   • Principal: se usa para conceder permisos en nombre de un usuario específico. Si usa esta opción, agregue la propiedad principalId={User_ObjectId} al cuerpo de la solicitud.

   Post https://graph.microsoft.com/v1.0/OAuth2PermissionGrants HTTP/1.1
   Authorization: Bearer ey..qw
   Content-Type: application/json
   {
   "clientId":"{Service_Plan_ID}",
   "consentType":"AllPrincipals",
   "resourceId":"c78a3685-1ce7-52cd-95f7-dc5aea8ec98e",
   "scope":"Dataset.ReadWrite.All Dashboard.Read.All Report.Read.All Group.Read Group.Read.All Content.Create Metadata.View_Any Dataset.Read.All Data.Alter_Any",
   "expiryTime":"2018-03-29T14:35:32.4943409+03:00",
   "startTime":"2017-03-29T14:35:32.4933413+03:00"
   }
   

   Nota:

   • Si usa un usuario maestro, para que Microsoft Entra ID no le pida consentimiento, debe conceder permisos a la cuenta maestra.
   • El valor resourceIdc78a3685-1ce7-52cd-95f7-dc5aea8ec98e depende del inquilino y no es universal. Este valor es el elemento objectId de la aplicación Servicio Power BI en Microsoft Entra ID. Para obtener este valor en Azure Portal, vaya a Aplicaciones empresariales > Todas las aplicaciones y busque Servicio Power BI.

4. Conceda permisos de aplicación a Microsoft Entra ID mediante la asignación de un valor a consentType.

   Post https://graph.microsoft.com/v1.0/OAuth2PermissionGrants HTTP/1.1
   Authorization: Bearer ey..qw
   Content-Type: application/json
   {
   "clientId":"{Service_Plan_ID}",
   "consentType":"AllPrincipals",
   "resourceId":"61e57743-d5cf-41ba-bd1a-2b381390a3f1",
   "scope":"User.Read Directory.AccessAsUser.All",
   "expiryTime":"2018-03-29T14:35:32.4943409+03:00",
   "startTime":"2017-03-29T14:35:32.4933413+03:00"
   }
   

C#

Los permisos de la aplicación de Microsoft Entra también se pueden cambiar mediante C#. Para más información, vea la API oAuth2PermissionGrant. Este método puede ser útil si está pensando en automatizar algunos de los procesos.

var graphClient = GetGraphClient();

currentState.createdApp = await graphClient.Applications
    .Request()
    .AddAsync(application);

System.Threading.Thread.Sleep(2000);

var passwordCredential = new PasswordCredential
{
    DisplayName = "Client Secret Created in C#"
};

currentState.createdSecret = await graphClient.Applications[currentState.createdApp.Id]
    .AddPassword(passwordCredential)
    .Request()
    .PostAsync();

var servicePrincipal = new ServicePrincipal
{
    AppId = currentState.createdApp.AppId
};

currentState.createdServicePrincipal = await graphClient.ServicePrincipals
    .Request()
    .AddAsync(servicePrincipal);

GraphServiceClient graphClient = new GraphServiceClient(authProvider);

// Use oAuth2PermissionGrant to change permissions
var oAuth2PermissionGrant = await graphClient.Oauth2PermissionGrants["{id}"]
               .Request()
               .GetAsync();

Contenido relacionado

• Consideraciones para generar un token de inserción
• Capacidad y SKU de los análisis incrustados de Power BI