Konfigurieren des Rollenanspruchs
Sie können den Rollenanspruch im Zugriffstoken, das nach der Autorisierung einer Anwendung empfangen wird, anpassen. Verwenden Sie dieses Feature, wenn die Anwendung erwartet, dass in dem Token benutzerdefinierte Rollen übergeben werden. Sie können nach Bedarf beliebig viele Rollen hinzufügen.
Voraussetzungen
- Ein Microsoft Entra-Abonnement mit einem konfigurierten Mandanten. Weitere Informationen finden Sie unter Schnellstart: Einrichten eines Mandanten.
- Eine Unternehmensanwendung, die dem Mandanten hinzugefügt wurde Weitere Informationen finden Sie unter Schnellstart: Hinzufügen einer Unternehmensanwendung.
- Für die Anwendung konfiguriertes einmaliges Anmelden (Single Sign-On, SSO). Weitere Informationen finden Sie unter Aktivieren des einmaligen Anmeldens für eine Unternehmensanwendung.
- Ein Benutzerkonto, das der Rolle zugewiesen wird. Weitere Informationen finden Sie unter Schnellstart: Erstellen und Zuweisen eines Benutzerkontos.
Hinweis
In diesem Artikel wird erläutert, wie Sie mithilfe von APIs Anwendungsrollen für den Dienstprinzipal erstellen, aktualisieren und löschen. Informationen zur Verwendung der neuen Benutzeroberfläche für App-Rollen finden Sie unter Hinzufügen von App-Rollen zu Ihrer Anwendung und Empfangen der Rollen im Token.
Suchen der Unternehmensanwendung
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Gehen Sie folgendermaßen vor, um die Unternehmensanwendung zu ermitteln:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.
- Geben Sie den Namen einer vorhandenen Anwendung in das Suchfeld ein, und wählen Sie die Anwendung in den Ergebnissen aus.
- Nachdem die Anwendung ausgewählt wurde, kopieren Sie die Objekt-ID aus dem Übersichtsbereich.
Hinzufügen von Rollen
Verwenden Sie den Microsoft Graph-Tester, um einer Unternehmensanwendung Rollen hinzuzufügen.
Öffnen Sie Microsoft Graph Explorer in einem anderen Fenster und melden Sie sich mit Administrator-Anmeldeinformationen für Ihren Mandanten an.
Hinweis
Die Rollen „Cloudanwendungsadministrator“ und „Anwendungsadministrator“ funktionieren in diesem Szenario nicht. Nutzen Sie die Rolle „Administrator für privilegierte Rollen“.
Wählen Sie Berechtigungen ändern und dann Einwilligung für und die Berechtigungen
Application.ReadWrite.AllundDirectory.ReadWrite.Allin der Liste aus.Ersetzen Sie
<objectID>in der folgenden Anforderung durch die zuvor aufgezeichnete Objekt-ID, und führen Sie dann diese Abfrage aus:https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>Eine Unternehmensanwendung wird auch als Dienstprinzipal bezeichnet. Notieren Sie sich die appRoles-Eigenschaft aus dem zurückgegebenen Dienstprinzipalobjekt. Das folgende Beispiel zeigt eine typische appRoles-Eigenschaft:
{ "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "isEnabled": true, "origin": "Application", "value": null } ] }Ändern Sie im Graph-Tester die Methode von GET in PATCH.
Kopieren Sie die zuvor notierte appRoles-Eigenschaft in den Bereich Anforderungstext des Graph-Testers, fügen Sie die neue Rollendefinition hinzu, und wählen Sie dann Abfrage ausführen aus, um den Patchvorgang zu starten. Die Erstellung der Rolle wird in einer Erfolgsmeldung bestätigt. Im folgenden Beispiel wird das Hinzufügen der Rolle Administrator gezeigt:
{ "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "isEnabled": true, "origin": "Application", "value": null }, { "allowedMemberTypes": [ "User" ], "description": "Administrators Only", "displayName": "Admin", "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff", "isEnabled": true, "origin": "ServicePrincipal", "value": "Administrator" } ] }Sie müssen das Rollenobjekt
msiam_accesszusätzlich zu allen neuen Rollen im Anforderungstext einschließen. Wenn keine vorhandenen Rollen in den Anforderungstext eingeschlossen werden, werden sie aus dem appRoles-Objekt entfernt. Darüber hinaus können Sie Ihrer Organisation je nach Bedarf beliebig viele Rollen hinzufügen. Der Wert dieser Rollen wird als Anspruchswert in der SAML-Antwort gesendet. Um die GUID-Werte für die ID neuer Rollen zu generieren, verwenden Sie Webtools, z. B. den Online-Generator für GUIDs/UUIDs. Die appRoles-Eigenschaft in der Antwort enthält den Inhalt des Anforderungstexts der Abfrage.
Bearbeiten von Attributen
Aktualisieren Sie die Attribute, um den Rollenanspruch im Token zu definieren.
- Suchen Sie die Anwendung im Microsoft Entra Admin Center, und wählen Sie dann im linken Menü Einmaliges Anmelden aus.
- Wählen Sie im Abschnitt Attribute & Ansprüche die Option Bearbeiten aus.
- Wählen Sie Neuen Anspruch hinzufügen aus.
- Geben Sie im Feld Name den Attributnamen ein. In diesem Beispiel wird Rollenname als Anspruchsname verwendet.
- Lassen Sie das Feld Namespace leer.
- Wählen Sie in der Liste Quellattribut den Eintrag user.assignedroles aus.
- Wählen Sie Speichern. Das neue Attribut Rollenname sollte jetzt im Abschnitt Attribute & Ansprüche angezeigt werden. Der Anspruch sollte jetzt beim Anmelden bei der Anwendung im Zugriffstoken enthalten sein.
Zuweisen von Rollen
Nachdem der Dienstprinzipal mit weiteren Rollen gepatcht wurde, können Sie den jeweiligen Rollen Benutzer zuweisen.
- Suchen Sie die Anwendung, der die Rolle im Microsoft Entra Admin Center hinzugefügt wurde.
- Wählen Sie im linken Menü Benutzer und Gruppen und dann den/die Benutzer*in aus, dem bzw. der Sie die neue Rolle zuweisen möchten.
- Wählen Sie oben im Bereich Zuweisung bearbeiten aus, um die Rolle zu ändern.
- Wählen Sie Keine Ausgewählt, anschließend die Rolle in der Liste und dann Auswählen aus.
- Wählen Sie Zuweisen aus, um den Benutzer*innen die Rolle zuzuweisen.
Aktualisieren von Rollen
Führen Sie die folgenden Schritte aus, um eine vorhandene Rolle zu aktualisieren:
Öffnen Sie den Microsoft Graph-Tester.
Melden Sie sich als Administrator für privilegierte Rollen bei der Graph-Testerwebsite an.
Ersetzen Sie in der folgenden Anforderung
<objectID>durch die Objekt-ID für die Anwendung aus dem Übersichtsbereich, und führen Sie dann die Abfrage aus:https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>Notieren Sie sich die appRoles-Eigenschaft aus dem zurückgegebenen Dienstprinzipalobjekt.
Ändern Sie im Graph-Tester die Methode von GET in PATCH.
Kopieren Sie die zuvor notierte appRoles-Eigenschaft in den Bereich Anforderungstext des Graph-Testers, fügen Sie die aktualisierte Rollendefinition hinzu, und wählen Sie dann Abfrage ausführen aus, um den Patchvorgang zu starten.
Löschen von Rollen
Führen Sie die folgenden Schritte aus, um eine vorhandene Rolle zu löschen:
Öffnen Sie den Microsoft Graph-Tester.
Melden Sie sich als Administrator für privilegierte Rollen bei der Graph-Testerwebsite an.
Ersetzen Sie im Azure-Portal in der folgenden Anforderung
<objectID>durch Objekt-ID der Anwendung im Übersichtsbereich, und führen Sie dann die Abfrage aus:https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>Notieren Sie sich die appRoles-Eigenschaft aus dem zurückgegebenen Dienstprinzipalobjekt.
Ändern Sie im Graph-Tester die Methode von GET in PATCH.
Kopieren Sie die zuvor aufgezeichnete appRoles-Eigenschaft in den Bereich Anforderungstext des Graph-Testers, legen Sie den Wert IsEnabled für die Rolle, die Sie löschen möchten, auf false fest, und wählen Sie dann Abfrage ausführen aus, um den Patchvorgang zu starten. Rollen müssen zunächst deaktiviert werden, bevor sie gelöscht werden können.
Löschen Sie diesen Rollenblock aus dem Abschnitt appRoles, nachdem die Rolle deaktiviert wurde. Behalten Sie als Methode PATCH bei, und wählen Sie Abfrage ausführen aus.
Nächste Schritte
- Weitere Informationen zum Anpassen von Ansprüchen finden Sie unter Anpassen ausgestellter Ansprüche im SAML-Token für Unternehmensanwendungen.