Поделиться через


New-AzureADUserAppRoleAssignment

Назначает пользователя роли приложения.

Синтаксис

New-AzureADUserAppRoleAssignment
   -ObjectId <String>
   [-InformationAction <ActionPreference>]
   [-InformationVariable <String>]
   -Id <String>
   -PrincipalId <String>
   -ResourceId <String>
   [<CommonParameters>]

Описание

Командлет New-AzureADUserAppRoleAssignment назначает пользователю роль приложения в Azure Active Directory (AD).

Примеры

Пример 1. Назначение пользователя приложению без ролей

# Get AppId of the app to assign the user to

$appId = Get-AzureADApplication -SearchString "<Your App's display name>"

# Get the user to be added

$user = Get-AzureADUser -searchstring "<Your user's UPN>"

# Get the service principal for the app you want to assign the user to

$servicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq 'appId'"

# Create the user app role assignment

New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $servicePrincipal.ObjectId -Id ([Guid]::Empty)

Эта команда назначает пользователя и приложению, которое; t имеют какие-либо роли.

Пример 2. Назначение пользователю определенной роли в приложении

$username = "<You user's UPN>"
$appname = "<Your App's display name>"
$spo = Get-AzureADServicePrincipal -Filter "Displayname eq '$appname'"
$user = Get-AzureADUser -ObjectId $username
New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $spo.ObjectId -Id $spo.Approles[1].id

Этот командлет назначает указанному пользователю роль приложения, идентификатор которого указан $spo. Approles[1].id. Дополнительные сведения о том, как получить роли приложения для приложения, см. в описании параметра -Id.

Параметры

-Id

Идентификатор роли приложения для назначения. Укажите пустой guid при создании нового назначения роли приложения для приложения, которое не имеет ролей, или идентификатор роли, которую необходимо назначить пользователю.

Роли приложения можно получить, проверив свойство AppRoles объекта приложения:

Get-AzureadApplication -SearchString "Your Application display name" | select Approles | Fl 

Этот командлет возвращает список ролей, определенных в приложении:

AppRoles : {class AppRole {
         AllowedMemberTypes: System.Collections.Generic.List1[System.String]
         Description: <description for this role>
         DisplayName: <display name for this role>
         Id: 97e244a2-6ccd-4312-9de6-ecb21884c9f7
         IsEnabled: True
         Value: <Value that will be transmitted as a claim in a token for this role>
       }
       }
Тип:String
Position:Named
Default value:None
Обязательно:True
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-InformationAction

Указывает, как этот командлет реагирует на информационное событие. Допустимые значения для этого параметра:

  • Продолжить
  • Игнорировать
  • Inquire
  • SilentlyContinue
  • Остановить
  • Приостановить
Тип:ActionPreference
Aliases:infa
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-InformationVariable

Указывает информационную переменную.

Тип:String
Aliases:iv
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-ObjectId

Указывает идентификатор пользователя (в виде имени участника-пользователя или ObjectId) в Azure AD, которому должна быть назначена новая роль приложения.

Тип:String
Position:Named
Default value:None
Обязательно:True
Принять входные данные конвейера:True
Принять подстановочные знаки:False

-PrincipalId

Идентификатор объекта субъекта, которому назначена новая роль приложения. При назначении новой роли пользователю укажите идентификатор объекта пользователя.

Тип:String
Position:Named
Default value:None
Обязательно:True
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-ResourceId

Идентификатор объекта субъекта-службы для приложения, которому назначена роль пользователя.

Тип:String
Position:Named
Default value:None
Обязательно:True
Принять входные данные конвейера:False
Принять подстановочные знаки:False