De rolclaim configureren
U kunt de rolclaim aanpassen in het toegangstoken dat wordt ontvangen nadat een toepassing is geautoriseerd. Gebruik deze functie als uw toepassing aangepaste rollen verwacht in het token. U kunt zoveel rollen maken als u nodig hebt.
Vereisten
- Een Microsoft Entra-abonnement met een geconfigureerde tenant. Zie quickstart: Een tenant instellen voor meer informatie.
- Een bedrijfstoepassing die is toegevoegd aan de tenant. Zie Quickstart: Een bedrijfstoepassing toevoegen voor meer informatie.
- Eenmalige aanmelding (SSO) die is geconfigureerd voor de toepassing. Zie Eenmalige aanmelding inschakelen voor een bedrijfstoepassing voor meer informatie.
- Een gebruikersaccount dat is toegewezen aan de rol. Zie quickstart: Een gebruikersaccount maken en toewijzen voor meer informatie.
Notitie
In dit artikel wordt uitgelegd hoe u toepassingsrollen in de service-principal maakt, bijwerkt of verwijdert met behulp van API's. Als u de nieuwe gebruikersinterface voor app-rollen wilt gebruiken, raadpleegt u App-rollen toevoegen aan uw toepassing en ontvangt u deze in het token.
De bedrijfstoepassing zoeken
Tip
Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.
Gebruik de volgende stappen om de bedrijfstoepassing te zoeken:
- Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
- Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
- Voer de naam van de bestaande toepassing in het zoekvak in en selecteer vervolgens de toepassing in de zoekresultaten.
- Nadat de toepassing is geselecteerd, kopieert u de object-id in het overzichtsvenster.
Rollen toevoegen
Gebruik Microsoft Graph Explorer om rollen toe te voegen aan een bedrijfstoepassing.
Open Microsoft Graph Explorer in een ander venster en meld u aan met de beheerdersreferenties voor uw tenant.
Notitie
De rol Cloudtoepassingsbeheerder en Toepassingsbeheerder werkt niet in dit scenario. Gebruik hiervoor de beheerder van de bevoorrechte rol.
Selecteer machtigingen voor wijzigen, selecteer Toestemming voor de
Application.ReadWrite.All
en deDirectory.ReadWrite.All
machtigingen in de lijst.Vervang
<objectID>
in de volgende aanvraag door de object-id die eerder is vastgelegd en voer de query uit:https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Een bedrijfstoepassing wordt ook wel een service-principal genoemd. Noteer de eigenschap appRoles van het service-principal-object dat is geretourneerd. In het volgende voorbeeld ziet u de typische eigenschap appRoles:
{ "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "isEnabled": true, "origin": "Application", "value": null } ] }
Wijzig in Graph Explorer de methode van GET naar PATCH.
Kopieer de eigenschap appRoles die eerder is vastgelegd in het deelvenster Aanvraagbody van Graph Explorer, voeg de nieuwe roldefinitie toe en selecteer vervolgens Query uitvoeren om de patchbewerking uit te voeren. Een bericht met succes bevestigt het maken van de rol. In het volgende voorbeeld ziet u de toevoeging van een beheerdersrol :
{ "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "isEnabled": true, "origin": "Application", "value": null }, { "allowedMemberTypes": [ "User" ], "description": "Administrators Only", "displayName": "Admin", "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff", "isEnabled": true, "origin": "ServicePrincipal", "value": "Administrator" } ] }
U moet het
msiam_access
rolobject naast eventuele nieuwe rollen in de hoofdtekst van de aanvraag opnemen. Als u geen bestaande rollen in de aanvraagbody opneemt, worden deze verwijderd uit het appRoles-object . U kunt ook zoveel rollen toevoegen als uw organisatie nodig heeft. De waarde van deze rollen wordt verzonden als de claimwaarde in het SAML-antwoord. Als u de GUID-waarden voor de id van nieuwe rollen wilt genereren, gebruikt u de webhulpprogramma's, zoals de online-GUID/UUID-generator. De eigenschap appRoles in het antwoord bevat wat zich in de aanvraagtekst van de query bevond.
Kenmerken bewerken
Werk de kenmerken bij om de rolclaim te definiƫren die is opgenomen in het token.
- Zoek de toepassing in het Microsoft Entra-beheercentrum en selecteer eenmalige aanmelding in het menu links.
- Selecteer Bewerken in de sectie Kenmerken en claims.
- Selecteer Nieuwe claim toevoegen.
- Typ de kenmerknaam in het vak Naam . In dit voorbeeld wordt rolnaam gebruikt als claimnaam.
- Laat het vak Naamruimte leeg.
- Selecteer user.assignedroles in de lijst bronkenmerken.
- Selecteer Opslaan. Het nieuwe kenmerk Rolnaam moet nu worden weergegeven in de sectie Kenmerken en claims . De claim moet nu worden opgenomen in het toegangstoken wanneer u zich aanmeldt bij de toepassing.
Rollen toewijzen
Nadat de service-principal is gepatcht met meer rollen, kunt u gebruikers toewijzen aan de respectieve rollen.
- Zoek de toepassing waaraan de rol is toegevoegd in het Microsoft Entra-beheercentrum.
- Selecteer Gebruikers en groepen in het linkermenu en selecteer vervolgens de gebruiker waaraan u de nieuwe rol wilt toewijzen.
- Selecteer Toewijzing bewerken boven aan het deelvenster om de rol te wijzigen.
- Selecteer Geen geselecteerd, selecteer de rol in de lijst en selecteer vervolgens Selecteren.
- Selecteer Toewijzen om de rol toe te wijzen aan de gebruiker.
Rollen bijwerken
Voer de volgende stappen uit om een bestaande rol bij te werken:
Open Microsoft Graph Explorer.
Meld u als beheerder van bevoorrechte rollen aan bij de Graph Explorer-site.
Vervang de object-id voor de toepassing in het overzichtsvenster
<objectID>
door de volgende aanvraag en voer vervolgens de query uit:https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Noteer de eigenschap appRoles van het service-principal-object dat is geretourneerd.
Wijzig in Graph Explorer de methode van GET naar PATCH.
Kopieer de eigenschap appRoles die eerder is vastgelegd in het deelvenster Aanvraagbody van Graph Explorer, voeg de roldefinitie bij en selecteer vervolgens Query uitvoeren om de patchbewerking uit te voeren.
Rollen verwijderen
Voer de volgende stappen uit om een bestaande rol te verwijderen:
Open Microsoft Graph Explorer.
Meld u als beheerder van bevoorrechte rollen aan bij de Graph Explorer-site.
Vervang in de volgende aanvraag door de object-id voor de toepassing in het overzichtsvenster in Azure Portal
<objectID>
en voer vervolgens de query uit:https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Noteer de eigenschap appRoles van het service-principal-object dat is geretourneerd.
Wijzig in Graph Explorer de methode van GET naar PATCH.
Kopieer de eigenschap appRoles die eerder is vastgelegd in het deelvenster Aanvraagbody van Graph Explorer, stel de waarde IsEnabled in op False voor de rol die u wilt verwijderen en selecteer Vervolgens Query uitvoeren om de patchbewerking uit te voeren. Een rol moet worden uitgeschakeld voordat deze kan worden verwijderd.
Nadat de rol is uitgeschakeld, verwijdert u dat rolblok uit de sectie appRoles . Behoud de methode als PATCH en selecteer Query uitvoeren opnieuw.
Volgende stappen
- Zie Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor informatie over het aanpassen van claims.