az ad app permission
Umožňuje spravovat oprávnění OAuth2 aplikace.
Příkazy
| Name | Description | Typ | Stav |
|---|---|---|---|
| az ad app permission add |
Přidejte oprávnění rozhraní API. |
Základ | GA |
| az ad app permission admin-consent |
Udělte aplikaci a delegovaná oprávnění prostřednictvím souhlasu správce. |
Základ | GA |
| az ad app permission delete |
Odeberte oprávnění rozhraní API. |
Základ | GA |
| az ad app permission grant |
Udělte aplikaci delegovaná oprávnění rozhraní API. |
Základ | GA |
| az ad app permission list |
Výpis oprávnění rozhraní API, která aplikace požadovala. |
Základ | GA |
| az ad app permission list-grants |
Výpis udělení oprávnění Oauth2 |
Základ | GA |
az ad app permission add
Přidejte oprávnění rozhraní API.
K jeho aktivaci je potřeba vyvolání příkazu az ad app permission grant.
Pokud chcete získat dostupná oprávnění aplikace prostředků, spusťte az ad sp show --id <resource-appId>příkaz . Pokud například chcete získat dostupná oprávnění pro rozhraní Microsoft Graph API, spusťte az ad sp show --id 00000003-0000-0000-c000-000000000000příkaz . Oprávnění aplikace v rámci appRoles vlastnosti odpovídají Role oprávněním --api-permissions. Delegovaná oprávnění v rámci oauth2Permissions vlastnosti odpovídají Scope oprávněním --api-permissions.
Podrobnosti o oprávněních Microsoft Graphu najdete v tématu https://learn.microsoft.com/graph/permissions-reference.
az ad app permission add --api
--api-permissions
--idPříklady
Přidání delegovaného oprávnění Microsoft Graph User.Read
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=ScopePřidání oprávnění aplikace Microsoft Graph Application.ReadWrite.All
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=RolePovinné parametry
RequiredResourceAccess.resourceAppId – jedinečný identifikátor prostředku, ke kterému aplikace vyžaduje přístup. Mělo by to být stejné jako appId deklarované v cílové aplikaci prostředků.
Seznam oddělený mezerami {id}={type}. {id} je resourceAccess.id – jedinečný identifikátor jedné z instancí oauth2PermissionScopes nebo appRole, které aplikace prostředků zveřejňuje. {type} je resourceAccess.type – Určuje, jestli vlastnost ID odkazuje na oauth2PermissionScopes nebo appRole. Možné hodnoty jsou: Obor (pro obory oprávnění OAuth 2.0) nebo Role (pro role aplikací).
Identifikátor URI, ID aplikace nebo ID objektu.
Globální parametry
Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.
Zobrazte tuto zprávu nápovědy a ukončete ji.
Zobrazují se pouze chyby, potlačení upozornění.
Výstupní formát
Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.
Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.
Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.
az ad app permission admin-consent
Udělte aplikaci a delegovaná oprávnění prostřednictvím souhlasu správce.
Musíte se přihlásit jako globální správce.
az ad app permission admin-consent --idPříklady
Udělte aplikaci a delegovaná oprávnění prostřednictvím souhlasu správce. (automaticky vygenerováno)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000Povinné parametry
Identifikátor URI, ID aplikace nebo ID objektu.
Globální parametry
Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.
Zobrazte tuto zprávu nápovědy a ukončete ji.
Zobrazují se pouze chyby, potlačení upozornění.
Výstupní formát
Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.
Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.
Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.
az ad app permission delete
Odeberte oprávnění rozhraní API.
az ad app permission delete --api
--id
[--api-permissions]Příklady
Odeberte oprávnění Microsoft Graphu.
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000Odebrání delegovaného oprávnění Microsoft Graph User.Read
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683dPovinné parametry
RequiredResourceAccess.resourceAppId – jedinečný identifikátor prostředku, ke kterému aplikace vyžaduje přístup. Mělo by to být stejné jako appId deklarované v cílové aplikaci prostředků.
Identifikátor URI, ID aplikace nebo ID objektu.
Volitelné parametry
Zadejte ResourceAccess.id – jedinečný identifikátor jedné z instancí OAuth2Permission nebo AppRole, které aplikace prostředků zveřejňuje. Seznam <resource-access-id>oddělený mezerami .
Globální parametry
Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.
Zobrazte tuto zprávu nápovědy a ukončete ji.
Zobrazují se pouze chyby, potlačení upozornění.
Výstupní formát
Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.
Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.
Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.
az ad app permission grant
Udělte aplikaci delegovaná oprávnění rozhraní API.
Při spuštění tohoto příkazu musí pro aplikaci existovat instanční objekt. K vytvoření odpovídajícího instančního objektu použijte az ad sp create --id {appId}.
Pro oprávnění aplikace použijte příkaz "ad app permission admin-consent".
az ad app permission grant --api,
--id,
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]Příklady
Udělení nativní aplikace s oprávněními pro přístup k existujícímu rozhraní API s TTL 2 roky
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.AllPovinné parametry
ID instančního objektu prostředku, ke kterému je autorizovaný přístup. Identifikuje rozhraní API, které má klient oprávnění k pokusu o volání jménem přihlášeného uživatele.
ID instančního objektu klienta pro aplikaci, která má oprávnění jednat jménem přihlášeného uživatele při přístupu k rozhraní API.
Seznam hodnot deklarací identity pro delegovaná oprávnění, která by měla být zahrnuta do přístupových tokenů pro aplikaci prostředků (rozhraní API). Například openid User.Read GroupMember.Read.All. Každá hodnota deklarace identity by měla odpovídat poli hodnoty jednoho z delegovaných oprávnění definovaných rozhraním API uvedeným ve vlastnosti oauth2PermissionScopes instančního objektu prostředku.
Volitelné parametry
Určuje, jestli je pro klientskou aplikaci udělena autorizace k zosobnění všech uživatelů nebo pouze konkrétního uživatele. AllPrincipals označuje autorizaci pro zosobnění všech uživatelů. Instanční objekt označuje autorizaci k zosobnění konkrétního uživatele. Souhlas jménem všech uživatelů může udělit správce. Uživatelé, kteří nejsou správci, můžou mít v některých případech oprávnění k vyjádření souhlasu jménem sebe sama u některých delegovaných oprávnění.
ID uživatele jménem, jehož klient má oprávnění pro přístup k prostředku, pokud je consentType "Principal". Pokud je consentType AllPrincipals, má tato hodnota hodnotu null. Vyžaduje se, když je typ consentType instanční objekt.
Globální parametry
Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.
Zobrazte tuto zprávu nápovědy a ukončete ji.
Zobrazují se pouze chyby, potlačení upozornění.
Výstupní formát
Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.
Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.
Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.
az ad app permission list
Výpis oprávnění rozhraní API, která aplikace požadovala.
az ad app permission list --idPříklady
Vypíše oprávnění OAuth2 pro aplikaci.
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234Povinné parametry
Identifikátor URI, ID aplikace nebo ID objektu přidružené aplikace.
Globální parametry
Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.
Zobrazte tuto zprávu nápovědy a ukončete ji.
Zobrazují se pouze chyby, potlačení upozornění.
Výstupní formát
Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.
Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.
Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.
az ad app permission list-grants
Výpis udělení oprávnění Oauth2
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]Příklady
výpis oprávnění oauth2 udělená instančnímu objektu
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456Volitelné parametry
Filtr OData, například --filter "displayname eq 'test' and servicePrincipalType eq 'Application'.
Identifikátor URI, ID aplikace nebo ID objektu.
Zobrazit zobrazovaný název zdroje
Globální parametry
Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.
Zobrazte tuto zprávu nápovědy a ukončete ji.
Zobrazují se pouze chyby, potlačení upozornění.
Výstupní formát
Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.
Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.
Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.
