New-AzureADServiceAppRoleAssignment

Modul:

AzureAD

Menetapkan peran aplikasi untuk pengguna, grup, atau perwakilan layanan lainnya.

Sintaks

New-AzureADServiceAppRoleAssignment
   -ObjectId <String>
   [-InformationAction <ActionPreference>]
   [-InformationVariable <String>]
   -Id <String>
   -PrincipalId <String>
   -ResourceId <String>
   [<CommonParameters>]

Deskripsi

Cmdlet New-AzureADServiceAppRoleAssignment menetapkan peran aplikasi dari perwakilan layanan sumber daya kepada pengguna, grup, atau perwakilan layanan lain. Peran aplikasi yang ditetapkan untuk perwakilan layanan juga dikenal sebagai izin aplikasi.

Catatan

Perilaku yang dijelaskan di sini berlaku ketika Connect-AzureAD dipanggil tanpa parameter apa pun, atau menggunakan identitas aplikasi milik Microsoft. Lihat Contoh 4 untuk mempelajari selengkapnya tentang perbedaan saat terhubung menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan.

Contoh

Contoh 1: Menetapkan peran aplikasi ke perwakilan layanan lain

PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId

Dalam contoh ini, perwakilan layanan klien diberi peran aplikasi (izin aplikasi) yang ditentukan oleh perwakilan layanan sumber daya (misalnya, API):

• ObjectId: ObjectId dari perwakilan layanan sumber daya (misalnya, API).
• ResourceId: ObjectId dari perwakilan layanan sumber daya (misalnya, API).
• Id: Id peran aplikasi (ditentukan pada perwakilan layanan sumber daya) untuk ditetapkan ke perwakilan layanan klien. Jika tidak ada peran aplikasi yang ditentukan pada aplikasi sumber daya, Anda dapat menggunakan 00000000-0000-0000-0000-000000000000.
• PrincipalId: ObjectId dari perwakilan layanan klien tempat Anda menetapkan peran aplikasi.

Catatan

Contoh ini berlaku ketika Connect-AzureAD dipanggil tanpa parameter apa pun. Lihat Contoh 4 untuk melihat bagaimana cmdlet ini digunakan saat tersambung menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan.

Contoh 2: Menetapkan peran aplikasi kepada pengguna

PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectId

Dalam contoh ini, pengguna diberi peran aplikasi yang ditentukan oleh aplikasi sumber daya:

• ObjectId: ObjectId dari perwakilan layanan aplikasi.
• ResourceId: ObjectId dari perwakilan layanan aplikasi.
• Id: Id peran aplikasi (ditentukan pada perwakilan layanan aplikasi) untuk ditetapkan kepada pengguna. Jika tidak ada peran aplikasi yang ditentukan ke aplikasi sumber daya, Anda dapat menggunakan 00000000-0000-0000-0000-000000000000 untuk menunjukkan bahwa aplikasi ditetapkan untuk pengguna.
• PrincipalId: ObjectId pengguna tempat Anda menetapkan peran aplikasi.

Catatan

Contoh ini berlaku ketika Connect-AzureAD dipanggil tanpa parameter apa pun. Lihat Contoh 4 untuk melihat bagaimana cmdlet ini digunakan saat tersambung menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan.

Contoh 3: Menetapkan peran aplikasi ke grup

PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectId

Dalam contoh ini, grup diberi peran aplikasi yang ditentukan oleh aplikasi sumber daya. Semua pengguna yang merupakan anggota langsung dari grup yang ditetapkan dianggap diberi peran aplikasi:

• ObjectId: ObjectId dari perwakilan layanan aplikasi.
• ResourceId: ObjectId dari perwakilan layanan aplikasi.
• Id: Id peran aplikasi (ditentukan pada perwakilan layanan aplikasi) untuk ditetapkan ke grup. Jika tidak ada peran aplikasi yang telah ditentukan di aplikasi sumber daya, Anda dapat menggunakan 00000000-0000-0000-0000-000000000000 untuk menunjukkan aplikasi ditetapkan ke grup.
• PrincipalId: ObjectId grup tempat Anda menetapkan peran aplikasi.

Catatan

Contoh ini berlaku ketika Connect-AzureAD dipanggil tanpa parameter apa pun. Lihat Contoh 4 untuk melihat bagaimana cmdlet ini digunakan saat tersambung menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan.

Contoh 4: Saat terhubung menggunakan aplikasi atau identitas layanan milik pelanggan

PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId

Perilaku cmdlet ini berubah saat tersambung ke modul Azure AD PowerShell menggunakan pendaftaran aplikasi atau identitas layanan milik pelanggan, termasuk:

• Saat menyambungkan sebagai perwakilan layanan, dan
• Saat menggunakan AadAccessToken parameter dengan token akses yang diperoleh untuk pendaftaran aplikasi atau identitas layanan milik pelanggan.

Dalam keadaan ini, cmdlet ini hanya digunakan untuk menetapkan peran aplikasi ke perwakilan layanan lain, yang diidentifikasi oleh ObjectId parameter dan PrincipalId :

• ObjectId: ObjectId dari perwakilan layanan klien tempat Anda menetapkan peran aplikasi.
• ResourceId: ObjectId dari perwakilan layanan sumber daya (misalnya, API).
• Id: Id peran aplikasi (ditentukan pada perwakilan layanan sumber daya) untuk ditetapkan ke perwakilan layanan klien. Jika tidak ada peran aplikasi yang ditentukan pada aplikasi sumber daya, Anda dapat menggunakan 00000000-0000-0000-0000-000000000000.
• PrincipalId: ObjectId dari perwakilan layanan klien tempat Anda menetapkan peran aplikasi.

Saat tersambung menggunakan identitas aplikasi atau layanan milik pelanggan, gunakan New-AzureADUserAppRoleAssignment dan New-AzureADGroupAppRoleAssignment untuk membuat penetapan peran aplikasi untuk pengguna dan grup.

Parameter

-Id

Menentukan Id peran aplikasi (ditentukan pada perwakilan layanan sumber daya) untuk ditetapkan. Jika tidak ada peran aplikasi yang ditentukan pada aplikasi sumber daya, Anda dapat menggunakan 00000000-0000-0000-0000-000000000000 untuk menunjukkan penetapan aplikasi atau layanan sumber daya, tanpa menentukan peran aplikasi.

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False

-InformationAction

Menentukan bagaimana cmdlet ini merespons peristiwa informasi. Nilai yang dapat diterima untuk parameter ini adalah:

• Lanjutkan
• Ignore
• Menanyakan
• Lanjutkan Diam-diam
• Hentikan
• Tangguhkan

Type:	ActionPreference
Aliases:	infa
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-InformationVariable

Menentukan variabel informasi.

Type:	String
Aliases:	iv
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-ObjectId

Menentukan ObjectId dari perwakilan layanan sumber daya (seperti aplikasi atau API) yang akan ditetapkan ke pengguna, grup, atau perwakilan layanan lainnya.

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-PrincipalId

Menentukan ObjectId pengguna, grup, atau perwakilan layanan lainnya tempat peran aplikasi ditetapkan.

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False

-ResourceId

Menentukan ObjectId dari perwakilan layanan sumber daya (seperti aplikasi atau API) yang akan ditetapkan ke pengguna, grup, atau perwakilan layanan lainnya.

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False

Catatan

Lihat panduan migrasi untuk New-AzureADServiceAppRoleAssignment ke Microsoft Graph PowerShell.

Link Terkait

• Get-AzureADServiceAppRoleAssignment
• Remove-AzureADServiceAppRoleAssignment