Configurar a declaração de função

Você pode personalizar a declaração de função no token de acesso que é recebido depois que um aplicativo é autorizado. Use esse recurso se seu aplicativo espera funções personalizadas no token. Pode criar tantas funções quantas necessárias.

Pré-requisitos

• Uma assinatura do Microsoft Entra com um locatário configurado. Para obter mais informações, consulte Guia de início rápido: configurar um locatário.
• Um aplicativo empresarial que foi adicionado ao locatário. Para obter mais informações, consulte Guia de início rápido: adicionar um aplicativo empresarial.
• Logon único (SSO) configurado para o aplicativo. Para obter mais informações, consulte Habilitar logon único para um aplicativo empresarial.
• Uma conta de usuário atribuída à função. Para obter mais informações, consulte Guia de início rápido: criar e atribuir uma conta de usuário.

Nota

Este artigo explica como criar, atualizar ou excluir funções de aplicativo na entidade de serviço usando APIs. Para usar a nova interface do usuário para Funções de Aplicativo, consulte Adicionar funções de aplicativo ao seu aplicativo e recebê-las no token.

Localize o aplicativo corporativo

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Use as seguintes etapas para localizar o aplicativo empresarial:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
3. Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação nos resultados da pesquisa.
4. Depois que o aplicativo for selecionado, copie o ID do objeto do painel de visão geral.

Adicionar funções

Use o Microsoft Graph Explorer para adicionar funções a um aplicativo empresarial.

1. Abra o Microsoft Graph Explorer em outra janela e entre usando as credenciais de administrador para seu locatário.

   Nota

   A função Cloud App Administrator e App Administrator não funcionará neste cenário. As permissões de administrador global são necessárias para leitura e gravação de diretório.

2. Selecione modificar permissões, selecione Consentimento para o Application.ReadWrite.All e as Directory.ReadWrite.All permissões na lista.

3. Substitua <objectID> a seguinte solicitação pela ID do objeto que foi gravada anteriormente e, em seguida, execute a consulta:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Um aplicativo corporativo também é conhecido como uma entidade de serviço. Registre a propriedade appRoles do objeto principal de serviço que foi retornado. O exemplo a seguir mostra a propriedade appRoles típica:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       }
     ]
   }
   

5. No Graph Explorer, altere o método de GET para PATCH.

6. Copie a propriedade appRoles que foi registrada anteriormente no painel Corpo da solicitação do Graph Explorer, adicione a nova definição de função e selecione Executar consulta para executar a operação de patch. Uma mensagem de sucesso confirma a criação da função. O exemplo a seguir mostra a adição de uma função Admin :

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Administrators Only",
         "displayName": "Admin",
         "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
         "isEnabled": true,
         "origin": "ServicePrincipal",
         "value": "Administrator"
       }
     ]
   }
   

   Você deve incluir o objeto de função, msiam_access além de quaisquer novas funções no corpo da solicitação. A falha ao incluir quaisquer funções existentes no corpo da solicitação as remove do objeto appRoles . Além disso, você pode adicionar quantas funções sua organização precisar. O valor dessas funções é enviado como o valor da declaração na resposta SAML. Para gerar os valores GUID para a ID de novas funções, use as ferramentas da Web, como o Online GUID / UUID Generator. A propriedade appRoles na resposta inclui o que estava no corpo da solicitação da consulta.

Editar atributos

Atualize os atributos para definir a declaração de função incluída no token.

1. Localize o aplicativo no centro de administração do Microsoft Entra e selecione Logon único no menu à esquerda.
2. Na seção Atributos & Declarações, selecione Editar.
3. Selecione Adicionar nova declaração.
4. Na caixa Nome, digite o nome do atributo. Este exemplo usa Role Name como o nome da declaração.
5. Deixe a caixa Namespace em branco.
6. Na lista Atributo Source, selecione user.assignedroles.
7. Selecione Guardar. O novo atributo Nome da Função agora deve aparecer na seção Atributos & Declarações . A declaração agora deve ser incluída no token de acesso ao entrar no aplicativo.

Atribuir funções

Depois que a entidade de serviço for corrigida com mais funções, você poderá atribuir usuários às respetivas funções.

1. Localize o aplicativo ao qual a função foi adicionada no centro de administração do Microsoft Entra.
2. Selecione Usuários e grupos no menu esquerdo e, em seguida, selecione o usuário ao qual você deseja atribuir a nova função.
3. Selecione Editar atribuição na parte superior do painel para alterar a função.
4. Selecione Nenhum Selecionado, selecione a função na lista e, em seguida, selecione Selecionar.
5. Selecione Atribuir para atribuir a função ao usuário.

Atualizar funções

Para atualizar uma função existente, execute as seguintes etapas:

1. Abra o Microsoft Graph Explorer.

2. Entre no site do Graph Explorer usando as credenciais de administrador global ou coadministrador para seu locatário.

3. Usando o ID do objeto para o aplicativo no painel de visão geral, substitua <objectID> a seguinte solicitação por ele e execute a consulta:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Registre a propriedade appRoles do objeto principal de serviço que foi retornado.

5. No Graph Explorer, altere o método de GET para PATCH.

6. Copie a propriedade appRoles que foi gravada anteriormente no painel Corpo da solicitação do Graph Explorer, adicione atualizar a definição de função e selecione Executar consulta para executar a operação de patch.

Excluir funções

Para excluir uma função existente, execute as seguintes etapas:

1. Abra o Microsoft Graph Explorer.

2. Entre no site do Graph Explorer usando as credenciais de administrador global ou coadministrador para seu locatário.

3. Usando a ID do objeto para o aplicativo no painel de visão geral no portal do Azure, substitua <objectID> a seguinte solicitação por ele e execute a consulta:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Registre a propriedade appRoles do objeto principal de serviço que foi retornado.

5. No Graph Explorer, altere o método de GET para PATCH.

6. Copie a propriedade appRoles que foi registrada anteriormente no painel Corpo da solicitação do Graph Explorer, defina o valor IsEnabled como false para a função que você deseja excluir e selecione Executar consulta para executar a operação de patch. Uma função deve ser desativada antes de poder ser excluída.

7. Depois que a função for desabilitada, exclua esse bloco de função da seção appRoles . Mantenha o método como PATCH e selecione Executar consulta novamente.

Próximos passos

• Para obter informações sobre como personalizar declarações, consulte Personalizar declarações emitidas no token SAML para aplicativos corporativos.