是否可以通过图形客户端或API以编程方式将应用程序(作为应用程序或服务主体)分配给组? (包括允许组成员访问应用程序所需的应用程序用户凭据)
我到处搜索,找不到相关的文档。
由于
答案 0 :(得分:0)
不,'应用程序' Azure AD中的一部分用于分割Azure AD中的授权和设置。它在Azure AD和您的应用程序之间创建信任。该应用程序不是用户。
用户是Azure AD实体,具有标识并且可以被授权访问资源(如应用程序)。用户可以添加到组中。请参阅以下链接以获取Azure AD图形API文档:
https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/groups-operations#AddGroupMembers
关于用户实体的文档:
https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/entity-and-complex-type-reference#UserEntity
答案 1 :(得分:0)
感谢回答emseetea,但我们确实有更多的东西。
回到原来的问题 - 你能以编程方式"将一个组分配给一个应用程序"。答案是肯定的,在服务主体上使用appRoleAssignments。服务主体表示应用程序实例,通常作为同意授予的一部分进行配置。在此特定于租户的应用程序实例(服务主体)上,您可以附加特定于租户的特定权限和策略。权限是作为同意的一部分创建的,但您也可以通过编程方式将应用程序角色(由应用程序定义)分配给用户或组。如果没有分配应用程序角色,那么您可以创建一个"默认"分配。您可以在http://blogs.msdn.com/b/aadgraphteam/archive/2014/12/12/announcing-the-new-version-of-graph-api-api-version-1-5.aspx找到关于此主题的更多信息,其中通过一些示例REST API调用对此进行了一些介绍。
通过客户端库也可以执行相同的操作。你可以看看https://github.com/Azure-Samples/active-directory-dotnet-graphapi-console。请看标题为#34; #region分配直接许可的部分"。这显示了如何为用户分配app角色。你也可以在一个组上做同样的事情。如果您的应用没有指定任何应用角色,请将appRoleAssignment.Id设置为零GUID。
希望这有帮助,