New-AzureADServiceAppRoleAssignment
Menetapkan peran aplikasi untuk pengguna, grup, atau perwakilan layanan lainnya.
Sintaks
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>]
Deskripsi
Cmdlet New-AzureADServiceAppRoleAssignment menetapkan peran aplikasi dari perwakilan layanan sumber daya kepada pengguna, grup, atau perwakilan layanan lain. Peran aplikasi yang ditetapkan untuk perwakilan layanan juga dikenal sebagai izin aplikasi.
Catatan
Perilaku yang dijelaskan di sini berlaku ketika Connect-AzureAD
dipanggil tanpa parameter apa pun, atau menggunakan identitas aplikasi milik Microsoft. Lihat Contoh 4 untuk mempelajari selengkapnya tentang perbedaan saat terhubung menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan.
Contoh
Contoh 1: Menetapkan peran aplikasi ke perwakilan layanan lain
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
Dalam contoh ini, perwakilan layanan klien diberi peran aplikasi (izin aplikasi) yang ditentukan oleh perwakilan layanan sumber daya (misalnya, API):
ObjectId
: ObjectId dari perwakilan layanan sumber daya (misalnya, API).ResourceId
: ObjectId dari perwakilan layanan sumber daya (misalnya, API).Id
: Id peran aplikasi (ditentukan pada perwakilan layanan sumber daya) untuk ditetapkan ke perwakilan layanan klien. Jika tidak ada peran aplikasi yang ditentukan pada aplikasi sumber daya, Anda dapat menggunakan00000000-0000-0000-0000-000000000000
.PrincipalId
: ObjectId dari perwakilan layanan klien tempat Anda menetapkan peran aplikasi.
Catatan
Contoh ini berlaku ketika Connect-AzureAD
dipanggil tanpa parameter apa pun. Lihat Contoh 4 untuk melihat bagaimana cmdlet ini digunakan saat tersambung menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan.
Contoh 2: Menetapkan peran aplikasi kepada pengguna
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectId
Dalam contoh ini, pengguna diberi peran aplikasi yang ditentukan oleh aplikasi sumber daya:
ObjectId
: ObjectId dari perwakilan layanan aplikasi.ResourceId
: ObjectId dari perwakilan layanan aplikasi.Id
: Id peran aplikasi (ditentukan pada perwakilan layanan aplikasi) untuk ditetapkan kepada pengguna. Jika tidak ada peran aplikasi yang ditentukan ke aplikasi sumber daya, Anda dapat menggunakan00000000-0000-0000-0000-000000000000
untuk menunjukkan bahwa aplikasi ditetapkan untuk pengguna.PrincipalId
: ObjectId pengguna tempat Anda menetapkan peran aplikasi.
Catatan
Contoh ini berlaku ketika Connect-AzureAD
dipanggil tanpa parameter apa pun. Lihat Contoh 4 untuk melihat bagaimana cmdlet ini digunakan saat tersambung menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan.
Contoh 3: Menetapkan peran aplikasi ke grup
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectId
Dalam contoh ini, grup diberi peran aplikasi yang ditentukan oleh aplikasi sumber daya. Semua pengguna yang merupakan anggota langsung dari grup yang ditetapkan dianggap diberi peran aplikasi:
ObjectId
: ObjectId dari perwakilan layanan aplikasi.ResourceId
: ObjectId dari perwakilan layanan aplikasi.Id
: Id peran aplikasi (ditentukan pada perwakilan layanan aplikasi) untuk ditetapkan ke grup. Jika tidak ada peran aplikasi yang telah ditentukan di aplikasi sumber daya, Anda dapat menggunakan00000000-0000-0000-0000-000000000000
untuk menunjukkan aplikasi ditetapkan ke grup.PrincipalId
: ObjectId grup tempat Anda menetapkan peran aplikasi.
Catatan
Contoh ini berlaku ketika Connect-AzureAD
dipanggil tanpa parameter apa pun. Lihat Contoh 4 untuk melihat bagaimana cmdlet ini digunakan saat tersambung menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan.
Contoh 4: Saat terhubung menggunakan aplikasi atau identitas layanan milik pelanggan
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
Perilaku cmdlet ini berubah saat tersambung ke modul Azure AD PowerShell menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan, termasuk:
- Saat menyambungkan sebagai perwakilan layanan, dan
- Saat menggunakan
AadAccessToken
parameter dengan token akses yang diperoleh untuk pendaftaran aplikasi atau identitas layanan milik pelanggan.
Dalam keadaan ini, cmdlet ini hanya digunakan untuk menetapkan peran aplikasi ke perwakilan layanan lain, yang diidentifikasi oleh ObjectId
parameter dan PrincipalId
:
ObjectId
: ObjectId dari perwakilan layanan klien tempat Anda menetapkan peran aplikasi.ResourceId
: ObjectId dari perwakilan layanan sumber daya (misalnya, API).Id
: Id peran aplikasi (ditentukan pada perwakilan layanan sumber daya) untuk ditetapkan ke perwakilan layanan klien. Jika tidak ada peran aplikasi yang ditentukan pada aplikasi sumber daya, Anda dapat menggunakan00000000-0000-0000-0000-000000000000
.PrincipalId
: ObjectId dari perwakilan layanan klien tempat Anda menetapkan peran aplikasi.
Saat tersambung menggunakan identitas aplikasi atau layanan milik pelanggan, gunakan New-AzureADUserAppRoleAssignment dan New-AzureADGroupAppRoleAssignment untuk membuat penetapan peran aplikasi untuk pengguna dan grup.
Parameter
-Id
Menentukan Id peran aplikasi (ditentukan pada perwakilan layanan sumber daya) untuk ditetapkan. Jika tidak ada peran aplikasi yang ditentukan pada aplikasi sumber daya, Anda dapat menggunakan 00000000-0000-0000-0000-000000000000
untuk menunjukkan penetapan aplikasi atau layanan sumber daya, tanpa menentukan peran aplikasi.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-InformationAction
Menentukan bagaimana cmdlet ini merespons peristiwa informasi. Nilai yang dapat diterima untuk parameter ini adalah:
- Lanjutkan
- Ignore
- Menanyakan
- Lanjutkan Diam-diam
- Hentikan
- Tangguhkan
Type: | ActionPreference |
Aliases: | infa |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-InformationVariable
Menentukan variabel informasi.
Type: | String |
Aliases: | iv |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ObjectId
Menentukan ObjectId dari perwakilan layanan sumber daya (seperti aplikasi atau API) yang akan ditetapkan ke pengguna, grup, atau perwakilan layanan lainnya.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-PrincipalId
Menentukan ObjectId pengguna, grup, atau perwakilan layanan lainnya tempat peran aplikasi ditetapkan.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ResourceId
Menentukan ObjectId dari perwakilan layanan sumber daya (seperti aplikasi atau API) yang akan ditetapkan ke pengguna, grup, atau perwakilan layanan lainnya.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Catatan
Lihat panduan migrasi untuk New-AzureADServiceAppRoleAssignment ke Microsoft Graph PowerShell.
Link Terkait
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk