Mengonfigurasi klaim peran

Anda dapat menyesuaikan klaim peran dalam token akses yang diterima setelah aplikasi diotorisasi. Gunakan fitur ini jika aplikasi Anda mengharapkan peran kustom dalam token. Anda dapat membuat peran sebanyak yang Anda butuhkan.

Prasyarat

• Langganan Microsoft Entra dengan penyewa yang dikonfigurasi. Untuk informasi selengkapnya, lihat Mulai Cepat: Menyiapkan penyewa.
• Aplikasi perusahaan yang telah ditambahkan ke penyewa. Untuk informasi selengkapnya, lihat Mulai Cepat: Menambahkan aplikasi perusahaan.
• Akses menyeluruh (SSO) dikonfigurasi untuk aplikasi. Untuk informasi selengkapnya, lihat Mengaktifkan akses menyeluruh untuk aplikasi perusahaan.
• Akun pengguna yang ditetapkan ke peran. Untuk informasi selengkapnya, lihat Mulai cepat: Membuat dan menetapkan akun pengguna.

Catatan

Artikel ini menjelaskan cara membuat, memperbarui, atau menghapus peran aplikasi pada perwakilan layanan menggunakan API. Untuk menggunakan antarmuka pengguna baru untuk Peran Aplikasi, lihat Menambahkan peran aplikasi ke aplikasi Anda dan menerimanya dalam token.

Menemukan aplikasi perusahaan

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Gunakan langkah-langkah berikut untuk menemukan aplikasi perusahaan:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.
3. Masukkan nama aplikasi yang ada di kotak pencarian, lalu pilih aplikasi dari hasil pencarian.
4. Setelah aplikasi dipilih, salin ID objek dari panel gambaran umum.

Menambahkan peran

Gunakan Microsoft Graph Explorer untuk menambahkan peran ke aplikasi perusahaan.

1. Buka Microsoft Graph Explorer di jendela lain dan masuk menggunakan info masuk administrator untuk penyewa Anda.

   Catatan

   Peran Administrator Aplikasi Cloud dan Administrator Aplikasi tidak akan berfungsi dalam skenario ini. Izin Admin Global diperlukan untuk baca dan tulis direktori.

2. Pilih ubah izin, pilih Persetujuan untuk Application.ReadWrite.All dan Directory.ReadWrite.All izin dalam daftar.

3. Ganti dalam permintaan berikut dengan ID objek yang sebelumnya direkam lalu jalankan <objectID> kueri:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Aplikasi perusahaan juga disebut sebagai perwakilan layanan. Rekam properti appRoles dari objek perwakilan layanan yang dikembalikan. Contoh berikut menunjukkan properti appRoles umum:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       }
     ]
   }
   

5. Di Graph Explorer, ubah metode dari GET ke PATCH.

6. Salin properti appRoles yang sebelumnya direkam ke panel Isi permintaan Graph Explorer, tambahkan definisi peran baru, lalu pilih Jalankan Kueri untuk menjalankan operasi patch. Pesan keberhasilan mengonfirmasi pembuatan peran. Contoh berikut menunjukkan penambahan peran Admin :

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Administrators Only",
         "displayName": "Admin",
         "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
         "isEnabled": true,
         "origin": "ServicePrincipal",
         "value": "Administrator"
       }
     ]
   }
   

   Anda harus menyertakan msiam_access objek peran selain peran baru dalam isi permintaan. Kegagalan untuk menyertakan peran yang ada dalam isi permintaan akan menghapusnya dari objek appRoles . Selain itu, Anda dapat menambahkan peran sebanyak yang dibutuhkan organisasi. Nilai peran ini dikirim sebagai nilai klaim dalam respons SAML. Untuk menghasilkan nilai GUID untuk ID peran baru, gunakan alat web, seperti Generator GUID /UUID Online. Properti appRoles dalam respons menyertakan apa yang ada dalam isi permintaan kueri.

Mengedit atribut

Perbarui atribut untuk menentukan klaim peran yang disertakan dalam token.

1. Temukan aplikasi di pusat admin Microsoft Entra, lalu pilih Akses menyeluruh di menu sebelah kiri.
2. Di bagian Atribut & Klaim , pilih Edit.
3. Pilih Tambahkan klaim baru.
4. Dalam kotak Nama , ketik nama atribut. Contoh ini menggunakan Nama Peran sebagai nama klaim.
5. Biarkan kotak Namespace kosong.
6. Dari daftar Atribut sumber, pilih user.assignedroles.
7. Pilih Simpan. Atribut Nama Peran baru sekarang akan muncul di bagian Atribut & Klaim. Klaim sekarang harus disertakan dalam token akses saat masuk ke aplikasi.

Menetapkan peran

Setelah perwakilan layanan di-patch dengan lebih banyak peran, Anda dapat menetapkan pengguna dan grup ke perannya masing-masing.

1. Temukan aplikasi tempat peran ditambahkan di pusat admin Microsoft Entra.
2. Pilih Pengguna dan grup di menu sebelah kiri lalu pilih pengguna yang ingin Anda tetapkan peran barunya.
3. Pilih Edit penetapan di bagian atas panel untuk mengubah peran.
4. Pilih Tidak Ada yang Dipilih, pilih peran dari daftar, lalu pilih Pilih.
5. Pilih Tetapkan untuk menetapkan peran kepada pengguna.

Memperbarui peran

Untuk memperbarui peran yang sudah ada, lakukan langkah-langkah berikut:

1. Buka Microsoft Graph Explorer.

2. Masuk ke situs Microsoft Graph Explorer dengan info masuk admin global atau admin bersama untuk penyewa.

3. Menggunakan ID objek untuk aplikasi dari panel gambaran umum, ganti <objectID> dalam permintaan berikut dengannya lalu jalankan kueri:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Rekam properti appRoles dari objek perwakilan layanan yang dikembalikan.

5. Di Graph Explorer, ubah metode dari GET ke PATCH.

6. Salin properti appRoles yang sebelumnya direkam ke panel Isi permintaan Graph Explorer, tambahkan perbarui definisi peran, lalu pilih Jalankan Kueri untuk menjalankan operasi patch.

Menghapus peran

Untuk menghapus peran yang sudah ada, lakukan langkah-langkah berikut:

1. Buka Microsoft Graph Explorer.

2. Masuk ke situs Microsoft Graph Explorer dengan info masuk admin global atau admin bersama untuk penyewa.

3. Menggunakan ID objek untuk aplikasi dari panel gambaran umum di portal Azure, ganti <objectID> dalam permintaan berikut dengannya lalu jalankan kueri:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Rekam properti appRoles dari objek perwakilan layanan yang dikembalikan.

5. Di Graph Explorer, ubah metode dari GET ke PATCH.

6. Salin properti appRoles yang sebelumnya direkam ke panel Isi permintaan Graph Explorer, atur nilai IsEnabled ke false untuk peran yang ingin Anda hapus, lalu pilih Jalankan Kueri untuk menjalankan operasi patch. Peran harus dinonaktifkan sebelum dapat dihapus.

7. Setelah peran dinonaktifkan, hapus blok peran tersebut dari bagian appRoles. Pertahankan metode sebagai PATCH, dan pilih Jalankan Kueri lagi.

Langkah berikutnya

• Untuk informasi tentang menyesuaikan klaim, lihat Menyesuaikan klaim yang dikeluarkan dalam token SAML untuk aplikasi perusahaan.