Настройка утверждения роли

Вы можете настроить утверждение роли в маркере доступа, полученном после того, как приложение авторизовано. Используйте эту функцию, если приложение ожидает пользовательские роли в маркере. Можно создать любое количество ролей.

Необходимые компоненты

• Подписка Microsoft Entra с настроенным клиентом. Дополнительные сведения см . в кратком руководстве по настройке клиента.
• Корпоративное приложение, которое было добавлено в клиент. Дополнительные сведения см. в кратком руководстве по добавлению корпоративного приложения.
• Единый вход, настроенный для приложения. Дополнительные сведения см. в разделе "Включение единого входа" для корпоративного приложения.
• Учетная запись пользователя, назначенная роли. Дополнительные сведения см. в кратком руководстве по созданию и назначению учетной записи пользователя.

Примечание.

В этой статье объясняется, как создавать, обновлять или удалять роли приложений в субъекте-службе с помощью API. Чтобы использовать новый пользовательский интерфейс для ролей приложений, см. статью "Добавление ролей приложения в приложение" и их получение в маркере.

Поиск корпоративного приложения

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы найти корпоративное приложение, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
3. Введите имя существующего приложения в поле поиска и выберите приложение из результатов поиска.
4. После выбора приложения скопируйте идентификатор объекта из области обзора.

Добавить роли

Используйте Обозреватель Microsoft Graph для добавления ролей в корпоративное приложение.

1. Откройте Microsoft Graph Обозреватель в другом окне и войдите с помощью учетных данных администратора для клиента.

   Примечание.

   Роль cloud App Администратор istrator и App Администратор istrator не будет работать в этом сценарии. Разрешения глобального Администратор необходимы для чтения и записи каталога.

2. Выберите пункт "Изменить разрешения", выберите "Согласие" и Application.ReadWrite.AllDirectory.ReadWrite.All "Разрешения" в списке.

3. Замените <objectID> в следующем запросе идентификатором объекта, который был записан ранее, а затем выполните запрос:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Корпоративное приложение также называется субъектом-службой. Запишите свойство appRoles из возвращаемого объекта субъекта-службы. В следующем примере показано типичное свойство appRoles:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       }
     ]
   }
   

5. В Graph Обозреватель измените метод с GET на PATCH.

6. Скопируйте свойство appRoles, которое ранее записано в область текста запроса графа Обозреватель, добавьте новое определение роли, а затем нажмите кнопку "Выполнить запрос", чтобы выполнить операцию исправления. Сообщение об успешном выполнении подтверждает создание роли. В следующем примере показано добавление роли Администратор:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Administrators Only",
         "displayName": "Admin",
         "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
         "isEnabled": true,
         "origin": "ServicePrincipal",
         "value": "Administrator"
       }
     ]
   }
   

   В тексте запроса необходимо включить msiam_access объект роли в дополнение к новым ролям. Сбой включения существующих ролей в текст запроса удаляет их из объекта appRoles . Кроме того, вы можете добавить столько ролей, сколько необходимо вашей организации. Значение этих ролей отправляется в качестве значения утверждения в ответе SAML. Чтобы создать значения GUID для идентификатора новых ролей, используйте веб-инструменты, такие как генератор GUID или UUID в Сети. Свойство appRoles в ответе включает то, что было в тексте запроса запроса.

Изменение атрибутов

Обновите атрибуты, чтобы определить утверждение роли, включенного в маркер.

1. Найдите приложение в Центре администрирования Microsoft Entra, а затем выберите единый вход в меню слева.
2. В разделе "Атрибуты и утверждения" выберите "Изменить".
3. Выберите Добавить новое утверждение.
4. В поле "Имя" введите имя атрибута. В этом примере в качестве имени утверждения используется имя роли.
5. Оставьте пустым поле Пространство имен.
6. В списке атрибутов источника выберите user.assignedroles.
7. Выберите Сохранить. Новый атрибут имени роли теперь должен отображаться в разделе "Атрибуты и утверждения ". Теперь утверждение должно быть включено в маркер доступа при входе в приложение.

Назначение ролей

Добавив новые роли в субъект-службу, вы сможете назначить эти роли пользователям.

1. Найдите приложение, в которое была добавлена роль в Центре администрирования Microsoft Entra.
2. Выберите пользователей и группы в меню слева, а затем выберите пользователя, которого вы хотите назначить новую роль.
3. Выберите "Изменить назначение " в верхней части области, чтобы изменить роль.
4. Выберите "Не выбрано", выберите роль из списка и нажмите кнопку "Выбрать".
5. Нажмите кнопку " Назначить" , чтобы назначить роль пользователю.

Обновление ролей

Чтобы обновить существующую роль, сделайте следующее:

1. Откройте Microsoft Graph Explorer.

2. Войдите на сайт песочницы Graph с помощью учетных данных глобального администратора или соадминистратора вашего клиента.

3. Используя идентификатор объекта для приложения из области обзора, замените <objectID> его следующим запросом, а затем выполните запрос:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Запишите свойство appRoles из возвращаемого объекта субъекта-службы.

5. В Graph Обозреватель измените метод с GET на PATCH.

6. Скопируйте свойство appRoles, которое ранее записано в область текста запроса графа Обозреватель, добавьте обновление определения роли, а затем нажмите кнопку "Выполнить запрос", чтобы выполнить операцию исправления.

Удаление ролей

Чтобы удалить существующую роль, выполните указанные ниже действия.

1. Откройте Microsoft Graph Explorer.

2. Войдите на сайт песочницы Graph с помощью учетных данных глобального администратора или соадминистратора вашего клиента.

3. Используя идентификатор объекта для приложения из области обзора в портал Azure, замените <objectID> его следующим запросом, а затем выполните запрос:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Запишите свойство appRoles из возвращаемого объекта субъекта-службы.

5. В Graph Обозреватель измените метод с GET на PATCH.

6. Скопируйте свойство appRoles, записанное ранее в область текста запроса графа Обозреватель, задайте значение IsEnabled значение false для роли, которую требуется удалить, а затем нажмите кнопку "Выполнить запрос", чтобы выполнить операцию исправления. Роль должна быть отключена, прежде чем ее можно удалить.

7. Когда роль будет отключена, удалите этот блок роли из раздела appRoles. Сохраните метод как PATCH и снова нажмите кнопку "Выполнить запрос ".

Следующие шаги

• Сведения о настройке утверждений см. в разделе "Настройка утверждений", выданных в токене SAML для корпоративных приложений.