Partilhar via


Configurar a declaração de função

Você pode personalizar a declaração de função no token de acesso que é recebido depois que um aplicativo é autorizado. Use esse recurso se seu aplicativo espera funções personalizadas no token. Pode criar tantas funções quantas necessárias.

Pré-requisitos

Nota

Este artigo explica como criar, atualizar ou excluir funções de aplicativo na entidade de serviço usando APIs. Para usar a nova interface do usuário para Funções de Aplicativo, consulte Adicionar funções de aplicativo ao seu aplicativo e recebê-las no token.

Localize o aplicativo corporativo

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Use as seguintes etapas para localizar o aplicativo empresarial:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
  3. Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação nos resultados da pesquisa.
  4. Depois que o aplicativo for selecionado, copie o ID do objeto do painel de visão geral.

Adicionar funções

Use o Microsoft Graph Explorer para adicionar funções a um aplicativo empresarial.

  1. Abra o Microsoft Graph Explorer em outra janela e entre usando as credenciais de administrador para seu locatário.

    Nota

    A função Cloud Application Administrator e Application Administrator não funcionará neste cenário, use o Privileged Role Administrator.

  2. Selecione modificar permissões, selecione Consentimento para o Application.ReadWrite.All e as Directory.ReadWrite.All permissões na lista.

  3. Substitua <objectID> a seguinte solicitação pela ID do objeto que foi gravada anteriormente e, em seguida, execute a consulta:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Um aplicativo corporativo também é conhecido como uma entidade de serviço. Registre a propriedade appRoles do objeto principal de serviço que foi retornado. O exemplo a seguir mostra a propriedade appRoles típica:

    {
      "appRoles": [
        {
          "allowedMemberTypes": [
            "User"
          ],
          "description": "msiam_access",
          "displayName": "msiam_access",
          "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
          "isEnabled": true,
          "origin": "Application",
          "value": null
        }
      ]
    }
    
  5. No Graph Explorer, altere o método de GET para PATCH.

  6. Copie a propriedade appRoles que foi registrada anteriormente no painel Corpo da solicitação do Graph Explorer, adicione a nova definição de função e selecione Executar consulta para executar a operação de patch. Uma mensagem de sucesso confirma a criação da função. O exemplo a seguir mostra a adição de uma função Admin :

    {
      "appRoles": [
        {
          "allowedMemberTypes": [
            "User"
          ],
          "description": "msiam_access",
          "displayName": "msiam_access",
          "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
          "isEnabled": true,
          "origin": "Application",
          "value": null
        },
        {
          "allowedMemberTypes": [
            "User"
          ],
          "description": "Administrators Only",
          "displayName": "Admin",
          "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
          "isEnabled": true,
          "origin": "ServicePrincipal",
          "value": "Administrator"
        }
      ]
    }
    

    Você deve incluir o objeto de função, msiam_access além de quaisquer novas funções no corpo da solicitação. A falha ao incluir quaisquer funções existentes no corpo da solicitação as remove do objeto appRoles . Além disso, você pode adicionar quantas funções sua organização precisar. O valor dessas funções é enviado como o valor da declaração na resposta SAML. Para gerar os valores GUID para a ID de novas funções, use as ferramentas da Web, como o Online GUID / UUID Generator. A propriedade appRoles na resposta inclui o que estava no corpo da solicitação da consulta.

Editar atributos

Atualize os atributos para definir a declaração de função incluída no token.

  1. Localize o aplicativo no centro de administração do Microsoft Entra e selecione Logon único no menu à esquerda.
  2. Na seção Atributos & Declarações, selecione Editar.
  3. Selecione Adicionar nova declaração.
  4. Na caixa Nome, digite o nome do atributo. Este exemplo usa Role Name como o nome da declaração.
  5. Deixe a caixa Namespace em branco.
  6. Na lista Atributo Source, selecione user.assignedroles.
  7. Selecione Guardar. O novo atributo Nome da Função agora deve aparecer na seção Atributos & Declarações . A declaração agora deve ser incluída no token de acesso ao entrar no aplicativo.

Atribuir funções

Depois que a entidade de serviço for corrigida com mais funções, você poderá atribuir usuários às respetivas funções.

  1. Localize o aplicativo ao qual a função foi adicionada no centro de administração do Microsoft Entra.
  2. Selecione Usuários e grupos no menu esquerdo e, em seguida, selecione o usuário ao qual você deseja atribuir a nova função.
  3. Selecione Editar atribuição na parte superior do painel para alterar a função.
  4. Selecione Nenhum Selecionado, selecione a função na lista e, em seguida, selecione Selecionar.
  5. Selecione Atribuir para atribuir a função ao usuário.

Atualizar funções

Para atualizar uma função existente, execute as seguintes etapas:

  1. Abra o Microsoft Graph Explorer.

  2. Entre no site do Graph Explorer como um Administrador de Função Privilegiada.

  3. Usando o ID do objeto para o aplicativo no painel de visão geral, substitua <objectID> a seguinte solicitação por ele e execute a consulta:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Registre a propriedade appRoles do objeto principal de serviço que foi retornado.

  5. No Graph Explorer, altere o método de GET para PATCH.

  6. Copie a propriedade appRoles que foi gravada anteriormente no painel Corpo da solicitação do Graph Explorer, adicione atualizar a definição de função e selecione Executar consulta para executar a operação de patch.

Excluir funções

Para excluir uma função existente, execute as seguintes etapas:

  1. Abra o Microsoft Graph Explorer.

  2. Entre no site do Graph Explorer como um Administrador de Função Privilegiada.

  3. Usando a ID do objeto para o aplicativo no painel de visão geral no portal do Azure, substitua <objectID> a seguinte solicitação por ele e execute a consulta:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Registre a propriedade appRoles do objeto principal de serviço que foi retornado.

  5. No Graph Explorer, altere o método de GET para PATCH.

  6. Copie a propriedade appRoles que foi registrada anteriormente no painel Corpo da solicitação do Graph Explorer, defina o valor IsEnabled como false para a função que você deseja excluir e selecione Executar consulta para executar a operação de patch. Uma função deve ser desativada antes de poder ser excluída.

  7. Depois que a função for desabilitada, exclua esse bloco de função da seção appRoles . Mantenha o método como PATCH e selecione Executar consulta novamente.

Próximos passos