我的组织有大约2000个应用程序,需要使用Azure AD SSO进行配置,因此需要注册并允许访问Azure AD上的用户。
我知道如何手动完成,但有没有办法自动完成整个过程,以便我可以注册应用程序并授予用户所需的访问权限?
谢谢你 Dheeraj Kumar答案 0 :(得分:0)
您可以使用Microsoft Graph API或Azure AD Graph API自动创建(尽管您应该尽可能使用MS Graph)。 在这种情况下,因为你手中有一个基本上是批处理的场景,我觉得PowerShell可能是个不错的选择。
有一个用于管理Azure AD的PowerShell模块:
首先使用
登录Connect-AzureAD
然后我们可以创建一个应用程序:
$app = New-AzureADApplication -DisplayName 'Created from PS' -IdentifierUris @('https://mytenant.onmicrosoft.com/PSTest1')
然后我们需要创建服务主体,这通常由门户网站完成:
$sp = New-AzureADServicePrincipal -AppId $app.AppId -AppRoleAssignmentRequired $true
请注意AppRoleAssignmentRequired
参数。
将其设置为true将要求用户在登录之前分配给应用程序。
如果你不想那样,就把它留下来。
现在我们可以分配用户了。
您将需要用户的ObjectId将它们分配给应用程序。
您可以通过各种方式使用Get-AzureADUser
来获取要分配的用户。
但是可以这样完成任务:
New-AzureADUserAppRoleAssignment -Id '00000000-0000-0000-0000-000000000000' -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -ObjectId $user.ObjectId
如果您在应用中为用户指定了角色,则可以使用角色的ID而不是全部为零。 所有零都转换为门户网站中的“默认访问权限”。