Configurer la revendication de rôle

Vous pouvez personnaliser la revendication de rôle dans le jeton d’accès reçu après l’autorisation d’une application. Utilisez cette fonction si votre application attend des rôles personnalisés dans le jeton. Vous pouvez créer autant de rôles que nécessaire.

Prérequis

• Un abonnement Microsoft Entra avec un locataire configuré. Pour plus d’informations, consultez Démarrage rapide : Configurer un locataire.
• Application d’entreprise qui a été ajoutée au locataire. Pour plus d’informations, consultez Démarrage rapide : Ajouter une application d’entreprise.
• L’authentification unique (SSO) est configurée pour l’application. Pour plus d’informations, consultez Activer l’authentification unique pour une application d’entreprise.
• Un compte d’utilisateur auquel est affecté un rôle. Pour plus d’informations, consultez Démarrage rapide : Créer et affecter un compte d’utilisateur.

Notes

Cet article explique comment créer, mettre à jour ou supprimer des rôles d’application sur le principal du service à l’aide d’API. Pour utiliser la nouvelle interface utilisateur pour les rôles d’application, consultez Ajouter des rôles d’application à votre application et les recevoir dans le jeton.

Rechercher l’application d’entreprise

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Suivez les étapes suivantes pour configurer l’application d’entreprise :

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.
3. Entrez le nom de l’application dans la zone de recherche, puis sélectionnez l’application dans les résultats.
4. Une fois l’application sélectionnée, copiez l’ID d’objet à partir du volet Vue d’ensemble.

Ajouter des rôles

Utilisez le Microsoft Graph Explorer pour ajouter des rôles à une application d'entreprise.

1. Ouvrez l’Explorer Microsoft Graph dans une autre fenêtre et connectez-vous à l’aide des informations d’identification de l’administrateur de votre locataire.

   Remarque

   Les rôles Administrateur d’application cloud et Administrateur d’application ne fonctionnent pas dans ce scénario. Utilisez le rôle Administrateur de rôle privilégié.

2. Sélectionnez Modifier les autorisations, sélectionnez Consentement pour les autorisations Application.ReadWrite.All et Directory.ReadWrite.All dans la liste.

3. Remplacez <objectID> dans la requête suivante par l’ID d’objet précédemment enregistré, puis exécutez la requête :

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. L’inscription d’une application d’entreprise crée un principal de service. Enregistrez la propriété appRoles à partir de l’objet principal du service qui a été retourné. L’exemple suivant montre la propriété appRoles classique :

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       }
     ]
   }
   

5. Dans l’Afficheur Graph, changez la méthode de GET en PATCH.

6. Copiez la propriété appRoles précédemment enregistrée dans le volet Corps de la requête de l’Afficheur Graph, ajoutez la nouvelle définition de rôle, puis sélectionnez Exécuter la requête pour exécuter l’opération de correction. Un message de réussite confirme la création du rôle. L'exemple suivant illustre l'ajout d’un rôle Administrateur :

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Administrators Only",
         "displayName": "Admin",
         "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
         "isEnabled": true,
         "origin": "ServicePrincipal",
         "value": "Administrator"
       }
     ]
   }
   

   Vous devez inclure l’objet de rôle msiam_access en plus des nouveaux rôles dans le corps de la requête. Si vous n’incluez pas les rôles existants dans le corps de la requête, ils sont supprimés de l’objet appRoles. Vous pouvez également ajouter autant de rôles selon les besoins de votre organisation. La valeur de ces rôles est envoyée comme valeur de revendication dans la réponse SAML. Pour générer les valeurs GUID pour l’ID des nouveaux rôles, utilisez les outils web, tels que le générateur GUID/UUID en ligne. La propriété appRoles dans la réponse inclut ce qui était dans le corps de la requête.

Modifier les attributs

Mettez à jour les attributs pour définir la revendication de rôle incluse dans le jeton.

1. Recherchez l’application dans le centre d’administration Microsoft Entra, puis sélectionnez Authentification unique dans le menu de gauche.
2. Dans la section Attributs et revendications, sélectionnez Modifier.
3. Sélectionnez Ajouter une nouvelle revendication.
4. Dans la zone Nom, saisissez le nom de l’attribut, si nécessaire. Cet exemple utilise Nom de rôle comme nom de revendication.
5. Laissez la zone Espace de noms vide.
6. Dans la liste Attribut source, sélectionnez user.assignedroles.
7. Sélectionnez Enregistrer. Le nouvel attribut Nom du rôle doit maintenant apparaître dans la section Attributs et revendications. La revendication doit maintenant être incluse dans le jeton d’accès lors de la connexion à l’application.

Attribuer des rôles

Une fois le principal du service corrigé avec d’autres rôles, vous pouvez assigner des utilisateurs aux rôles respectifs.

1. Recherchez l’application à laquelle le rôle a été ajouté dans le centre d’administration Microsoft Entra.
2. Sélectionnez Utilisateurs et groupes dans le menu de gauche, puis sélectionnez l’utilisateur auquel vous souhaitez attribuer le nouveau rôle.
3. Sélectionnez Modifier une affectation en haut du volet pour modifier le rôle.
4. Sélectionnez Aucun sélectionné, sélectionnez le rôle dans la liste, puis sélectionnez Sélectionner.
5. Sélectionnez Attribuer pour attribuer le rôle à l’utilisateur.

Mettre à jour les rôles

Pour mettre à jour un rôle existant, procédez comme suit :

1. Ouvrez l’afficheur Microsoft Graph.

2. Connectez-vous au site de l’Afficheur Graph en tant qu’Administrateur de rôle privilégié.

3. À l’aide de l’ID d’objet de l’application dans le volet Vue d’ensemble du Portail Azure, remplacez <objectID> dans la requête suivante, puis exécutez la requête :

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Enregistrez la propriété appRoles à partir de l’objet principal du service qui a été retourné.

5. Dans l’Afficheur Graph, changez la méthode de GET en PATCH.

6. Copiez la propriété appRoles précédemment enregistrée dans le volet Corps de la requête de l’Afficheur Graph, ajoutez la mise à jour de la définition de rôle, puis sélectionnez Exécuter la requête pour exécuter l’opération de correction.

Supprimer les rôles

Pour supprimer un rôle existant, procédez comme suit :

1. Ouvrez l’afficheur Microsoft Graph.

2. Connectez-vous au site de l’Afficheur Graph en tant qu’Administrateur de rôle privilégié.

3. À l’aide de l’ID d’objet de l’application dans le volet Vue d’ensemble du Portail Azure, remplacez-le <objectID> dans la requête suivante, puis exécutez la requête :

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Enregistrez la propriété appRoles à partir de l’objet principal du service qui a été retourné.

5. Dans l’Afficheur Graph, changez la méthode de GET en PATCH.

6. Copiez la propriété appRoles précédemment enregistrée dans le volet Corps de la demande de l’Afficheur Graph, définissez la valeur IsEnabled sur false pour le rôle que vous souhaitez supprimer, puis sélectionnez Exécuter la requête pour exécuter l’opération de correctif. Un rôle doit être désactivé avant de pouvoir être supprimé.

7. Lorsque le rôle est désactivé, supprimez ce bloc de rôle de la section appRoles. Conservez la méthode PATCH, puis sélectionnez Exécuter la requête.

Étapes suivantes

• Pour plus d’informations sur la personnalisation de revendications, consultez l’article Personnaliser les revendications émises dans le jeton SAML pour les applications d’entreprise.