当我在Azure Active Directory(Azure AD)中注册类型为Web App/API
的应用程序时,我可以添加用户和组,并将预定义的应用程序角色分配给租户企业应用程序中的应用程序。但是,没有为类型Native
的应用程序添加用户和组的规定。
是否可以将用户和组添加到本机应用程序,并通过PowerShell或Azure CLI使用特定于应用程序的角色进行设置?
答案 0 :(得分:2)
正如您所注意到,在本机应用程序的情况下,企业应用程序刀片中隐藏了用户和组,我相信原因是您通常不在本机应用程序中配置角色分配,而是在WebApp / WebAPI(本机应用程序正在使用)。
无论如何,您可以为本机应用程序配置应用程序角色。你可以这样做但是编辑清单并在那里添加appRole(value属性将出现在角色声明中)。例如:
"appRoles": [
{
"allowedMemberTypes": [
"Application",
"User"
],
"displayName": "ReadOnly",
"id": "9cc5ee76-3d7d-4060-8b7f-e734f3917e71",
"isEnabled": true,
"description": "ReadOnly roles have limited query access",
"value": "ReadOnlyUser"
}
]
然后,您可以使用Powershell将用户添加到该角色:
New-AzureADUserAppRoleAssignment -ObjectId <user's object ID> -PrincipalId <user's object ID> -ResourceId <native app service principal ID> -Id <role ID as it is in the manifest>
然后,如果您获得此应用程序和该用户的令牌,您应该看到角色声明:
"roles": [
"ReadOnlyUser"
]