Konfigurace deklarace identity role

Deklaraci identity role můžete přizpůsobit v přístupovém tokenu přijatém po autorizaci aplikace. Tuto funkci použijte, pokud vaše aplikace očekává vlastní role v tokenu. Podle potřeby můžete vytvořit libovolný počet rolí.

Požadavky

• Předplatné Microsoft Entra s nakonfigurovaným tenantem. Další informace najdete v tématu Rychlý start: Nastavení tenanta.
• Podniková aplikace, která byla přidána do tenanta. Další informace najdete v tématu Rychlý start: Přidání podnikové aplikace.
• Jednotné přihlašování (SSO) nakonfigurované pro aplikaci Další informace najdete v tématu Povolení jednotného přihlašování pro podnikovou aplikaci.
• Uživatelský účet, který je přiřazen k roli. Další informace najdete v tématu Rychlý start: Vytvoření a přiřazení uživatelského účtu.

Poznámka:

Tento článek vysvětluje, jak vytvořit, aktualizovat nebo odstranit role aplikací v instančním objektu pomocí rozhraní API. Pokud chcete použít nové uživatelské rozhraní pro role aplikací, přečtěte si téma Přidání rolí aplikace do aplikace a jejich přijetí v tokenu.

Vyhledání podnikové aplikace

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pomocí následujících kroků vyhledejte podnikovou aplikaci:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.
3. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci.
4. Po výběru aplikace zkopírujte ID objektu z podokna přehledu.

Přidání rolí

Pomocí Microsoft Graph Exploreru můžete přidat role do podnikové aplikace.

1. Otevřete Microsoft Graph Explorer v jiném okně a přihlaste se pomocí přihlašovacích údajů správce pro vašeho tenanta.

   Poznámka:

   Role Správce cloudových aplikací a správce aplikací v tomto scénáři nebude fungovat, použijte správce privilegovaných rolí.

2. Vyberte upravit oprávnění, vyberte Souhlas a Application.ReadWrite.All Directory.ReadWrite.All oprávnění v seznamu.

3. Nahraďte <objectID> v následujícím požadavku ID objektu, které bylo dříve zaznamenáno, a pak spusťte dotaz:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Podniková aplikace se také označuje jako instanční objekt. Poznamenejte vlastnost appRoles z vráceného instančního objektu. Následující příklad ukazuje typickou vlastnost appRoles:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       }
     ]
   }
   

5. V Graph Exploreru změňte metodu z GET na PATCH.

6. Zkopírujte vlastnost appRoles, která byla dříve zaznamenána do podokna text požadavku v Graph Exploreru, přidejte novou definici role a pak vyberte Spustit dotaz a spusťte operaci opravy. Zpráva o úspěchu potvrzuje vytvoření role. Následující příklad ukazuje přidání role správce :

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Administrators Only",
         "displayName": "Admin",
         "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
         "isEnabled": true,
         "origin": "ServicePrincipal",
         "value": "Administrator"
       }
     ]
   }
   

   Objekt role musíte zahrnout msiam_access kromě všech nových rolí v textu požadavku. Pokud do textu požadavku zahrnete všechny existující role, odebere je z objektu appRoles . Můžete také přidat tolik rolí, kolik potřebuje vaše organizace. Hodnota těchto rolí se odešle jako hodnota deklarace identity v odpovědi SAML. K vygenerování hodnot GUID pro ID nových rolí použijte webové nástroje, například Online GUID / UUID Generator. Vlastnost appRoles v odpovědi obsahuje to, co bylo v textu požadavku dotazu.

Úprava atributů

Aktualizujte atributy tak, aby definovaly deklaraci identity role, která je součástí tokenu.

1. Vyhledejte aplikaci v Centru pro správu Microsoft Entra a v nabídce vlevo vyberte Jednotné přihlašování .
2. V části Atributy a deklarace identity vyberte Upravit.
3. Vyberte Přidat novou deklaraci identity.
4. Do pole Název zadejte název atributu. Tento příklad používá název role jako název deklarace identity.
5. Pole Obor názvů nechte prázdné.
6. V seznamu zdrojových atributů vyberte user.assignedroles.
7. Zvolte Uložit. Nový atribut Název role by se teď měl zobrazit v části Atributy a deklarace identity . Deklarace identity by se teď měla zahrnout do přístupového tokenu při přihlašování k aplikaci.

Přiřazení rolí

Po opravě instančního objektu s více rolemi můžete přiřadit uživatele k příslušným rolím.

1. Vyhledejte aplikaci, do které byla role přidána v Centru pro správu Microsoft Entra.
2. V nabídce vlevo vyberte Uživatelé a skupiny a pak vyberte uživatele, kterému chcete přiřadit novou roli.
3. Pokud chcete změnit roli, vyberte Upravit přiřazení v horní části podokna.
4. Vyberte Možnost Žádná vybrána, v seznamu vyberte roli a pak vyberte Vybrat.
5. Vyberte Přiřadit a přiřaďte roli uživateli.

Aktualizace rolí

Pokud chcete aktualizovat existující roli, proveďte následující kroky:

1. Otevřete Microsoft Graph Explorer.

2. Přihlaste se k webu Graph Exploreru jako správce privilegovaných rolí.

3. Pomocí ID objektu pro aplikaci z podokna přehledu nahraďte <objectID> v následujícím požadavku a pak spusťte dotaz:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Poznamenejte vlastnost appRoles z vráceného instančního objektu.

5. V Graph Exploreru změňte metodu z GET na PATCH.

6. Zkopírujte vlastnost appRoles, která byla dříve zaznamenána do podokna text požadavku v Graph Exploreru, přidejte aktualizaci definice role a pak vyberte Spustit dotaz , aby se spustila operace opravy.

Odstranění rolí

Pokud chcete odstranit existující roli, proveďte následující kroky:

1. Otevřete Microsoft Graph Explorer.

2. Přihlaste se k webu Graph Exploreru jako správce privilegovaných rolí.

3. Pomocí ID objektu pro aplikaci z podokna přehledu na webu Azure Portal nahraďte <objectID> v následujícím požadavku a spusťte dotaz:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Poznamenejte vlastnost appRoles z vráceného instančního objektu.

5. V Graph Exploreru změňte metodu z GET na PATCH.

6. Zkopírujte vlastnost appRoles, která byla dříve zaznamenána do podokna text požadavku v Graph Exploreru, nastavte hodnotu IsEnabled na false pro roli, kterou chcete odstranit, a pak vyberte Spustit dotaz , aby se spustila operace opravy. Před odstraněním musí být role zakázaná.

7. Po zakázání role odstraňte tento blok role z oddílu appRoles . Ponechte metodu jako PATCH a znovu vyberte Spustit dotaz .

Další kroky

• Informace o přizpůsobení deklarací identity naleznete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace.