Azure Active Directory - 如何以编程方式将应用程序角色分配给组

Question

我希望使用Azure AD创建基于角色的授权mvc应用程序：

• Create a .NET MVC web app in Azure App Service with Azure Active Directory authentication
• Azure Role-based Access Control

从Azure门户，我能够：

• 创建用户和群组。
• 将用户分配到群组。
• 创建应用程序角色。
• 创建应用程序角色（通过修改清单）
• 为用户分配应用程序角色。

我刚刚有一个免费的Azure Active Directory版本，我已经知道我们可以使用Microsoft Azure Active Directory来执行这些操作：

• 为用户分配多个应用程序角色。
• 将多个应用程序角色分配给组。

Microsoft提供good samples来查询AAD，我已经开始使用它，但我无法弄清楚如何将应用程序分配给组。

这是我获取该组的伪代码：

ActiveDirectoryClient client = AuthenticationHelper.GetActiveDirectoryClient();
var app = (await client.Applications.GetByObjectId("applicationObjectId").ExecuteAsync());
var servicePrincipal = await client.ServicePrincipals.GetByObjectId("servicePrincipalObjectId").ExecuteAsync();
var appRole = app.AppRoles.First(r => r.DisplayName == "my role");
var mygroup = (await client.Groups.ExecuteAsync()).CurrentPage.FirstOrDefault();           

我想做的是这样的事情：

mygroup .AppRoleAssignments.Add(new AppRoleAssignment()
{
    ResourceId = Guid.Parse(servicePrincipal.ObjectId),
    Id = appRole.Id,
    PrincipalType = "Group",
    PrincipalId = Guid.Parse(mygroup .ObjectId),
});
await group.UpdateAsync();

但AppRoleAssignments的类型为IPagedCollection<IAppRoleAssignment>，并且没有添加方法。

有谁知道我需要在我的代码中找到什么？

Answer 1

事实上它很简单......我必须将IGroup转换为Group：

ActiveDirectoryClient client = AuthenticationHelper.GetActiveDirectoryClient();
var app = (await client.Applications.GetByObjectId("applicationObjectId").ExecuteAsync());
var servicePrincipal = await client.ServicePrincipals.GetByObjectId("servicePrincipalObjectId").ExecuteAsync();
var appRole = app.AppRoles.First(r => r.DisplayName == "my role");
var mygroup = (Group)(await client.Groups.ExecuteAsync()).CurrentPage.FirstOrDefault();  

它工作正常^^：

mygroup .AppRoleAssignments.Add(new AppRoleAssignment()
{
    ResourceId = Guid.Parse(servicePrincipal.ObjectId),
    Id = appRole.Id,
    PrincipalType = "Group",
    PrincipalId = Guid.Parse(mygroup .ObjectId),
});
await group.UpdateAsync();