在Azure AD中,我有整个租户范围的组,但是对于应用程序,我在应用程序清单的“ appRoles”区域中定义了角色。
我在哪里可以找到或设置应用程序角色与租户组之间的映射?
我可以打电话给Microsoft Graph来查看角色的ID,组的ID以及组和角色之间的关联的ID吗?
我认为在Microsoft Graph中调用servicePrincipal可能会为映射提供此关联ID,但是我看不到关联信息,也许是因为我需要专门设置映射。
我的理解是,承租人范围的组和特定于应用程序的角色之间可能存在映射,因此,如果承租人有一百个组,但只有3个组与某个应用程序相关,则这三个组可以在应用程序中角色位于“ appRoles”下,并且当用户登录该应用程序时,只有这3个角色/组才可能位于用户的JWT令牌中,而不是可能与该应用程序无关的100个组。
答案 0 :(得分:1)
您需要的是Get appRoleAssignment。 (注意,不支持在生产应用程序中使用/beta API。)
https://graph.microsoft.com/beta/groups/{group id}/appRoleAssignments
以下是响应示例:
{
"id": "vYC9THsQiUaIO0_OAVavTkhETv6Zy7pKlmGdjahzx6o",
"creationTimestamp": "2019-09-25T03:30:02.739514Z",
"appRoleId": "d1c2ade8-98f8-45fd-aa4a-6d06b947c66f",
"principalDisplayName": "TestAllenG",
"principalId": "4cbd80bd-107b-4689-883b-4fce0156af4e",
"principalType": "Group",
"resourceDisplayName": "AllenTestBot001",
"resourceId": "f958f02e-6d83-43f0-8a86-a08fe42f1aab"
}
“ appRoleId”是appRole的ID。 “ resourceId”是servicePrincipal的ID。