Konfigurowanie oświadczenia roli

Oświadczenie roli można dostosować w tokenie dostępu, który jest odbierany po autoryzacji aplikacji. Użyj tej funkcji, jeśli aplikacja oczekuje ról niestandardowych w tokenie. Możesz utworzyć dowolną liczbę ról.

Wymagania wstępne

• Subskrypcja firmy Microsoft Entra ze skonfigurowaną dzierżawą. Aby uzyskać więcej informacji, zobacz Szybki start: konfigurowanie dzierżawy.
• Aplikacja dla przedsiębiorstw, która została dodana do dzierżawy. Aby uzyskać więcej informacji, zobacz Szybki start: dodawanie aplikacji dla przedsiębiorstw.
• Logowanie jednokrotne (SSO) skonfigurowane dla aplikacji. Aby uzyskać więcej informacji, zobacz Włączanie logowania jednokrotnego dla aplikacji dla przedsiębiorstw.
• Konto użytkownika przypisane do roli. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie i przypisywanie konta użytkownika.

Uwaga

W tym artykule wyjaśniono, jak tworzyć, aktualizować lub usuwać role aplikacji w jednostce usługi przy użyciu interfejsów API. Aby użyć nowego interfejsu użytkownika dla ról aplikacji, zobacz Dodawanie ról aplikacji do aplikacji i odbieranie ich w tokenie.

Lokalizowanie aplikacji dla przedsiębiorstw

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby zlokalizować aplikację dla przedsiębiorstw, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.
4. Po wybraniu aplikacji skopiuj identyfikator obiektu z okienka przeglądu.

Dodawanie ról

Użyj Eksploratora programu Microsoft Graph, aby dodać role do aplikacji dla przedsiębiorstw.

1. Otwórz Eksploratora programu Microsoft Graph w innym oknie i zaloguj się przy użyciu poświadczeń administratora dla dzierżawy.

   Uwaga

   Rola Administrator aplikacji w chmurze i Administrator aplikacji nie będzie działać w tym scenariuszu— użyj administratora ról uprzywilejowanych.

2. Wybierz pozycję Modyfikuj uprawnienia, wybierz pozycję Zgoda dla uprawnień Application.ReadWrite.All i na Directory.ReadWrite.All liście.

3. Zastąp element <objectID> w poniższym żądaniu identyfikatorem obiektu, który został wcześniej zarejestrowany, a następnie uruchom zapytanie:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Aplikacja dla przedsiębiorstw jest również nazywana jednostką usługi. Zarejestruj właściwość appRoles z zwróconego obiektu jednostki usługi. W poniższym przykładzie przedstawiono typową właściwość appRoles:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       }
     ]
   }
   

5. W Eksploratorze programu Graph zmień metodę z GET na PATCH.

6. Skopiuj właściwość appRoles, która została wcześniej zarejestrowana w okienku Treść żądania w Eksploratorze programu Graph, dodaj nową definicję roli, a następnie wybierz pozycję Uruchom zapytanie , aby wykonać operację poprawki. Komunikat o powodzeniu potwierdza utworzenie roli. W poniższym przykładzie pokazano dodanie roli administratora :

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Administrators Only",
         "displayName": "Admin",
         "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
         "isEnabled": true,
         "origin": "ServicePrincipal",
         "value": "Administrator"
       }
     ]
   }
   

   Oprócz nowych ról w treści żądania należy uwzględnić msiam_access obiekt roli. Nie można uwzględnić żadnych istniejących ról w treści żądania, co spowoduje usunięcie ich z obiektu appRoles . Ponadto możesz dodać dowolną liczbę ról w zależności od potrzeb organizacji. Wartość tych ról jest wysyłana jako wartość oświadczenia w odpowiedzi SAML. Aby wygenerować wartości identyfikatora GUID dla identyfikatora nowych ról, użyj narzędzi internetowych, takich jak generator identyfikatora GUID/UUID online. Właściwość appRoles w odpowiedzi zawiera elementy w treści żądania zapytania.

Edytuj atrybuty

Zaktualizuj atrybuty, aby zdefiniować oświadczenie roli uwzględnione w tokenie.

1. Znajdź aplikację w centrum administracyjnym firmy Microsoft Entra, a następnie wybierz pozycję Logowanie jednokrotne w menu po lewej stronie.
2. W sekcji Atrybuty i oświadczenia wybierz pozycję Edytuj.
3. Wybierz pozycję Dodaj nowe oświadczenie.
4. W polu Nazwa wpisz nazwę atrybutu. W tym przykładzie nazwa roli jest używana jako nazwa oświadczenia.
5. Pozostaw puste pole Przestrzeń nazw.
6. Z listy Atrybut źródłowy wybierz pozycję user.assignedroles.
7. Wybierz pozycję Zapisz. Nowy atrybut Nazwa roli powinien teraz pojawić się w sekcji Atrybuty i oświadczenia . Oświadczenie powinno być teraz uwzględnione w tokenie dostępu podczas logowania się do aplikacji.

Przypisywanie ról

Po wprowadzeniu poprawek jednostki usługi z większą rolą można przypisać użytkowników do odpowiednich ról.

1. Znajdź aplikację, do której dodano rolę w centrum administracyjnym firmy Microsoft Entra.
2. Wybierz pozycję Użytkownicy i grupy w menu po lewej stronie, a następnie wybierz użytkownika, który chcesz przypisać nową rolę.
3. Wybierz pozycję Edytuj przypisanie w górnej części okienka, aby zmienić rolę.
4. Wybierz pozycję Brak wybrane, wybierz rolę z listy, a następnie wybierz pozycję Wybierz.
5. Wybierz pozycję Przypisz , aby przypisać rolę do użytkownika.

Aktualizowanie ról

Aby zaktualizować istniejącą rolę, wykonaj następujące kroki:

1. Otwórz Eksploratora programu Microsoft Graph.

2. Zaloguj się do witryny Eksploratora programu Graph jako administrator ról uprzywilejowanych.

3. Używając identyfikatora obiektu dla aplikacji z okienka przeglądu, zastąp element <objectID> w następującym żądaniu nim, a następnie uruchom zapytanie:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Zarejestruj właściwość appRoles z zwróconego obiektu jednostki usługi.

5. W Eksploratorze programu Graph zmień metodę z GET na PATCH.

6. Skopiuj właściwość appRoles, która została wcześniej zarejestrowana w okienku Treść żądania w Eksploratorze programu Graph, dodaj aktualizację definicji roli, a następnie wybierz pozycję Uruchom zapytanie , aby wykonać operację poprawki.

Usuwanie ról

Aby usunąć istniejącą rolę, wykonaj następujące kroki:

1. Otwórz Eksploratora programu Microsoft Graph.

2. Zaloguj się do witryny Eksploratora programu Graph jako administrator ról uprzywilejowanych.

3. Za pomocą identyfikatora obiektu dla aplikacji z okienka przeglądu w witrynie Azure Portal zastąp ciąg <objectID> w następującym żądaniu, a następnie uruchom zapytanie:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Zarejestruj właściwość appRoles z zwróconego obiektu jednostki usługi.

5. W Eksploratorze programu Graph zmień metodę z GET na PATCH.

6. Skopiuj właściwość appRoles, która została wcześniej zarejestrowana w okienku Treść żądania w Eksploratorze programu Graph, ustaw wartość IsEnabled na wartość false dla roli, którą chcesz usunąć, a następnie wybierz pozycję Uruchom zapytanie , aby wykonać operację poprawki. Aby można było usunąć rolę, należy ją wyłączyć.

7. Po wyłączeniu roli usuń ten blok roli z sekcji appRoles . Zachowaj metodę PATCH i ponownie wybierz pozycję Uruchom zapytanie.

Następne kroki

• Aby uzyskać informacje na temat dostosowywania oświadczeń, zobacz Dostosowywanie oświadczeń wystawionych w tokenie SAML dla aplikacji dla przedsiębiorstw.