Configurare l'attestazione del ruolo

È possibile personalizzare l'attestazione del ruolo nel token di accesso ricevuto dopo l'autorizzazione di un'applicazione. Usare questa funzionalità se l'applicazione prevede ruoli personalizzati nel token. È possibile creare tutti i ruoli necessari.

Prerequisiti

• Sottoscrizione di Microsoft Entra con un tenant configurato. Per altre informazioni, vedere Avvio rapido: Configurare un tenant.
• Applicazione aziendale aggiunta al tenant. Per altre informazioni, vedere Avvio rapido: Aggiungere un'applicazione aziendale.
• Single Sign-On (SSO) configurato per l'applicazione. Per altre informazioni, vedere Abilitare l'accesso Single Sign-On per un'applicazione aziendale.
• Un account utente assegnato al ruolo. Per altre informazioni, vedere Avvio rapido: Creare e assegnare un account utente.

Nota

Questo articolo illustra come creare, aggiornare o eliminare ruoli applicazione nell'entità servizio usando le API. Per usare la nuova interfaccia utente per i ruoli dell'app, vedere Aggiungere ruoli dell'app all'applicazione e riceverli nel token.

Individuare l'applicazione aziendale

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Usare la procedura seguente per individuare l'applicazione aziendale:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
3. Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.
4. Dopo aver selezionato l'applicazione, copiare l'ID oggetto dal riquadro di panoramica.

Aggiungere ruoli

Usare Microsoft Graph Explorer per aggiungere ruoli a un'applicazione aziendale.

1. Aprire Microsoft Graph Explorer in un'altra finestra e accedere usando le credenziali di amministratore per il tenant.

   Nota

   Il ruolo Amministratore applicazione cloud e Amministratore applicazioni non funzionerà in questo scenario, usare l'amministratore del ruolo con privilegi.

2. Selezionare Modifica autorizzazioni, selezionare Consenso per Application.ReadWrite.All e le Directory.ReadWrite.All autorizzazioni nell'elenco.

3. Sostituire <objectID> nella richiesta seguente con l'ID oggetto registrato in precedenza e quindi eseguire la query:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Un'applicazione aziendale è detta anche entità servizio. Registrare la proprietà appRoles dall'oggetto entità servizio restituito. L'esempio seguente mostra la proprietà appRoles tipica:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       }
     ]
   }
   

5. In Graph Explorer modificare il metodo da GET a PATCH.

6. Copiare la proprietà appRoles registrata in precedenza nel riquadro Corpo della richiesta di Graph Explorer, aggiungere la nuova definizione di ruolo e quindi selezionare Esegui query per eseguire l'operazione di patch. Un messaggio di operazione completata conferma la creazione del ruolo. L'esempio seguente illustra l'aggiunta di un ruolo di amministratore :

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Administrators Only",
         "displayName": "Admin",
         "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
         "isEnabled": true,
         "origin": "ServicePrincipal",
         "value": "Administrator"
       }
     ]
   }
   

   È necessario includere l'oggetto msiam_access ruolo oltre a tutti i nuovi ruoli nel corpo della richiesta. Il mancato inclusione di ruoli esistenti nel corpo della richiesta li rimuove dall'oggetto appRoles . Inoltre, è possibile aggiungere tutti i ruoli necessari per l'organizzazione. Il valore di questi ruoli viene inviato come valore attestazione nella risposta SAML. Per generare i valori GUID per l'ID dei nuovi ruoli, usare gli strumenti Web, ad esempio il GENERATORE GUID/UUID online. La proprietà appRoles nella risposta include ciò che era nel corpo della richiesta della query.

Modificare gli attributi

Aggiornare gli attributi per definire l'attestazione del ruolo inclusa nel token.

1. Individuare l'applicazione nell'interfaccia di amministrazione di Microsoft Entra e quindi selezionare Single Sign-On nel menu a sinistra.
2. Nella sezione Attributi e attestazioni selezionare Modifica.
3. Selezionare Aggiungi nuova attestazione.
4. Nella casella Nome digitare il nome dell'attributo. Questo esempio usa Nome ruolo come nome di attestazione.
5. Lasciare vuota la casella Spazio dei nomi.
6. Nell'elenco Attributo di origine selezionare user.assignedroles.
7. Seleziona Salva. Il nuovo attributo Nome ruolo dovrebbe ora essere visualizzato nella sezione Attributi e attestazioni . L'attestazione dovrebbe ora essere inclusa nel token di accesso durante l'accesso all'applicazione.

Assegnazione di ruoli

Dopo che all'entità servizio è stata applicata la patch con più ruoli, è possibile assegnare gli utenti ai rispettivi ruoli.

1. Individuare l'applicazione a cui è stato aggiunto il ruolo nell'interfaccia di amministrazione di Microsoft Entra.
2. Selezionare Utenti e gruppi nel menu a sinistra e quindi selezionare l'utente che si vuole assegnare il nuovo ruolo.
3. Selezionare Modifica assegnazione nella parte superiore del riquadro per modificare il ruolo.
4. Selezionare Nessuno selezionato, selezionare il ruolo nell'elenco e quindi selezionare Seleziona.
5. Selezionare Assegna per assegnare il ruolo all'utente.

Aggiornamento dei ruoli

Per aggiornare un ruolo esistente, completare questi passaggi:

1. Aprire Microsoft Graph Explorer.

2. Accedere al sito di Graph Explorer come amministratore del ruolo con privilegi.

3. Usando l'ID oggetto per l'applicazione dal riquadro di panoramica, sostituire <objectID> nella richiesta seguente con esso e quindi eseguire la query:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Registrare la proprietà appRoles dall'oggetto entità servizio restituito.

5. In Graph Explorer modificare il metodo da GET a PATCH.

6. Copiare la proprietà appRoles registrata in precedenza nel riquadro Corpo della richiesta di Graph Explorer, aggiungere l'aggiornamento della definizione del ruolo e quindi selezionare Esegui query per eseguire l'operazione di patch.

Eliminare i ruoli

Per eliminare un ruolo esistente, completare questi passaggi:

1. Aprire Microsoft Graph Explorer.

2. Accedere al sito di Graph Explorer come amministratore del ruolo con privilegi.

3. Usando l'ID oggetto per l'applicazione dal riquadro di panoramica nel portale di Azure, sostituire <objectID> nella richiesta seguente con esso ed eseguire la query:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Registrare la proprietà appRoles dall'oggetto entità servizio restituito.

5. In Graph Explorer modificare il metodo da GET a PATCH.

6. Copiare la proprietà appRoles registrata in precedenza nel riquadro Corpo della richiesta di Graph Explorer, impostare il valore IsEnabled su false per il ruolo da eliminare e quindi selezionare Esegui query per eseguire l'operazione di patch. Prima di poter essere eliminato, è necessario disabilitare un ruolo.

7. Dopo che il ruolo è stato disabilitato, eliminare il blocco del ruolo dalla sezione appRoles. Mantenere il metodo patch e selezionare di nuovo Esegui query.

Passaggi successivi

• Per informazioni sulla personalizzazione delle attestazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.