时间戳

首页 > 解决方案 > 将用户/组和角色添加到 Azure AD 本机应用

azure - 将用户/组和角色添加到 Azure AD 本机应用

问题描述

当我Web App/API在 Azure Active Directory (Azure AD) 中注册类型的应用程序时,我可以添加用户和组并将预定义的应用程序角色分配给租户的企业应用程序中的应用程序。但是,没有为 类型的应用程序添加用户和组的规定Native

是否可以将用户和组添加到本机应用程序,并通过 PowerShell 或 Azure CLI 将它们设置为应用程序特定的角色?

标签: azureazure-active-directory

解决方案

正如您注意到的,对于本机应用程序,用户和组隐藏在企业应用程序刀片中,我相信原因是您通常不在本机应用程序中配置角色分配,而是在 WebApp/WebAPI 中进行配置(本机应用程序正在使用)。

无论如何,是的,您可以为本机应用程序配置应用程序角色。您可以这样做,但要编辑清单并在其中添加 appRole(值属性将出现在角色声明中)。例子:

  "appRoles": [
    {
      "allowedMemberTypes": [
        "Application",
        "User"
      ],
      "displayName": "ReadOnly",
      "id": "9cc5ee76-3d7d-4060-8b7f-e734f3917e71",
      "isEnabled": true,
      "description": "ReadOnly roles have limited query access",
      "value": "ReadOnlyUser"
    }
  ]

然后,您可以使用 Powershell 将用户添加到该角色:

New-AzureADUserAppRoleAssignment -ObjectId <user's object ID> -PrincipalId <user's object ID> -ResourceId <native app service principal ID> -Id <role ID as it is in the manifest>

然后,如果您获得此应用程序和该用户的令牌,您应该会看到角色声明:

  "roles": [
    "ReadOnlyUser"
  ]

推荐阅读