Configurare l'attestazione del ruolo

È possibile personalizzare l'attestazione del ruolo nel token di accesso ricevuto dopo l'autorizzazione di un'applicazione. Usare questa funzionalità se l'applicazione prevede ruoli personalizzati nel token. È possibile creare tutti i ruoli necessari.

Prerequisiti

• Sottoscrizione di Microsoft Entra con un tenant configurato. Per altre informazioni, vedere Avvio rapido: Configurare un tenant.
• Applicazione aziendale aggiunta al tenant. Per altre informazioni, vedere Avvio rapido: Aggiungere un'applicazione aziendale.
• Single Sign-On (SSO) configurato per l'applicazione. Per altre informazioni, vedere Abilitare l'accesso Single Sign-On per un'applicazione aziendale.
• Un account utente assegnato al ruolo. Per altre informazioni, vedere Guida introduttiva: Creare e assegnare un account utente.

Nota

Questo articolo illustra come creare, aggiornare o eliminare ruoli applicazione nell'entità servizio usando le API. Per usare la nuova interfaccia utente per i ruoli delle app, vedere Aggiungere ruoli dell'app all'applicazione e riceverli nel token.

Individuare l'applicazione aziendale

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Usare la procedura seguente per individuare l'applicazione aziendale:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
3. Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.
4. Dopo aver selezionato l'applicazione, copiare l'ID oggetto dal riquadro di panoramica.

Aggiungere ruoli

Usare Microsoft Graph Explorer per aggiungere ruoli a un'applicazione aziendale.

1. Aprire Microsoft Graph Explorer in un'altra finestra e accedere usando le credenziali di amministratore per il tenant.

   Nota

   Il ruolo Amministratore applicazione cloud e Amministratore applicazioni non funzionerà in questo scenario, usare l'amministratore del ruolo con privilegi.

2. Selezionare modificare le autorizzazioni, selezionare Consentire per il Application.ReadWrite.All e le autorizzazioni Directory.ReadWrite.All nell'elenco.

3. Sostituire <objectID> nella richiesta seguente con l'ID oggetto registrato in precedenza e quindi eseguire la query:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Un'applicazione aziendale è detta anche entità servizio. Registrare la proprietà appRoles dall'oggetto entità servizio restituito. L'esempio seguente mostra la proprietà appRoles tipica:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       }
     ]
   }
   

5. In Graph explorer modificare il metodo da GET a PATCH.

6. Copiare la proprietà appRoles registrata in precedenza nel riquadro Corpo della richiesta di Graph Explorer, aggiungere la nuova definizione di ruolo e quindi selezionare Esegui query per eseguire l'operazione di patch. Un messaggio di operazione completata conferma la creazione del ruolo. L'esempio seguente illustra l'aggiunta di un ruolo Amministratore:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Administrators Only",
         "displayName": "Admin",
         "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
         "isEnabled": true,
         "origin": "ServicePrincipal",
         "value": "Administrator"
       }
     ]
   }
   

   È necessario includere l'oggetto ruolo msiam_access oltre a tutti i nuovi ruoli nel corpo della richiesta. Se non si include alcun ruolo esistente nel corpo della richiesta, questi vengono rimossi dall'oggetto appRoles. Inoltre, è possibile aggiungere tutti i ruoli necessari per l'organizzazione. Il valore di questi ruoli viene inviato come valore dell'attestazione nella risposta SAML. Per generare i valori GUID per l'ID dei nuovi ruoli, usare gli strumenti Web, ad esempio GUID online/generatore UUID. La proprietà appRoles nella risposta include ciò che era nel corpo della richiesta della query.

Modifica attributi

Aggiornare gli attributi per definire l'attestazione del ruolo inclusa nel token.

1. Individuare l'applicazione nell'interfaccia di amministrazione di Microsoft Entra e quindi selezionare single sign-on nel menu a sinistra.
2. Nella sezione Attributi e attestazioni selezionare Modifica.
3. Selezionare Aggiungi nuova attestazione.
4. Nella casella di testo Nome digitare il nome dell'attributo necessario. Questo esempio usa Nome ruolo come nome di attestazione.
5. Lasciare vuota la casella Spazio dei nomi.
6. Nell'elenco Attributo di origine selezionare user.assignedroles.
7. Seleziona Salva. Il nuovo attributo Nome del ruolo dovrebbe ora essere visualizzato nella sezione Attributi e attestazioni. L'attestazione dovrebbe ora essere inclusa nel token di accesso durante l'accesso all'applicazione.

Assegnazione di ruoli

Dopo che all'entità servizio è stata applicata la patch con più ruoli, è possibile assegnare gli utenti ai rispettivi ruoli.

1. Individuare l'applicazione a cui è stato aggiunto il ruolo nell'interfaccia di amministrazione di Microsoft Entra.
2. Selezionare Utenti e gruppi nel menu a sinistra e quindi selezionare l'utente a cui si vuole assegnare il nuovo ruolo.
3. Selezionare Modifica assegnazione nella parte superiore del riquadro per modificare il ruolo.
4. Selezionare Nessuna selezionata, selezionare il ruolo nell'elenco e quindi selezionare Seleziona.
5. Selezionare Assegnare per assegnare il ruolo all'utente.

Aggiornamento dei ruoli

Per aggiornare un ruolo esistente, completare questi passaggi:

1. Aprire Microsoft Graph Explorer.

2. Accedere al sito di Graph Explorer come amministratore del ruolo con privilegi.

3. Usando l'ID oggetto per l'applicazione dal riquadro di panoramica, sostituire <objectID> nella richiesta seguente e quindi eseguire la query:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Registrare la proprietà appRoles dall'oggetto entità servizio restituito.

5. In Graph explorer modificare il metodo da GET a PATCH.

6. Copiare la proprietà appRoles registrata in precedenza nel riquadro Corpo della richiesta di Graph Explorer, aggiungere Aggiorna la definizione di ruolo e quindi selezionare Esegui query per eseguire l'operazione di patch.

Eliminazione di ruoli

Per eliminare un ruolo esistente, completare questi passaggi:

1. Aprire Microsoft Graph Explorer.

2. Accedere al sito di Graph Explorer come amministratore del ruolo con privilegi.

3. Usando l'ID oggetto per l'applicazione dal riquadro di panoramica nel portale di Azure, sostituire <objectID> nella richiesta seguente e quindi eseguire la query:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Registrare la proprietà appRoles dall'oggetto entità servizio restituito.

5. In Graph explorer modificare il metodo da GET a PATCH.

6. Copiare la proprietà appRoles registrata in precedenza nel riquadro Corpo della richiesta di Graph Explorer, impostare il valore IsEnabled su falso per il ruolo da eliminare e quindi selezionare Esegui query per eseguire l'operazione di patch. Prima di poter essere eliminato, è necessario disabilitare un ruolo.

7. Dopo che il ruolo è stato disabilitato, eliminare il blocco del ruolo dalla sezione appRoles. Mantenere il metodo come PATCH e selezionare nuovamente Esegui query.

Passaggi successivi

• Per informazioni sulla personalizzazione delle attestazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.