将用户/组和角色添加到Azure AD本机应用程序

时间:2018-04-27 16:06:07

标签: azure azure-active-directory

当我在Azure Active Directory(Azure AD)中注册类型为Web App/API的应用程序时,我可以添加用户和组,并将预定义的应用程序角色分配给租户企业应用程序中的应用程序。但是,没有为类型Native的应用程序添加用户和组的规定。

是否可以将用户和组添加到本机应用程序,并通过PowerShell或Azure CLI使用特定于应用程序的角色进行设置?

1 个答案:

答案 0 :(得分:2)

正如您所注意到,在本机应用程序的情况下,企业应用程序刀片中隐藏了用户和组,我相信原因是您通常不在本机应用程序中配置角色分配,而是在WebApp / WebAPI(本机应用程序正在使用)。

无论如何,您可以为本机应用程序配置应用程序角色。你可以这样做但是编辑清单并在那里添加appRole(value属性将出现在角色声明中)。例如:

  "appRoles": [
    {
      "allowedMemberTypes": [
        "Application",
        "User"
      ],
      "displayName": "ReadOnly",
      "id": "9cc5ee76-3d7d-4060-8b7f-e734f3917e71",
      "isEnabled": true,
      "description": "ReadOnly roles have limited query access",
      "value": "ReadOnlyUser"
    }
  ]

然后,您可以使用Powershell将用户添加到该角色:

New-AzureADUserAppRoleAssignment -ObjectId <user's object ID> -PrincipalId <user's object ID> -ResourceId <native app service principal ID> -Id <role ID as it is in the manifest>

然后,如果您获得此应用程序和该用户的令牌,您应该看到角色声明:

  "roles": [
    "ReadOnlyUser"
  ]