azure-active-directory - 将自定义角色分配给 Azure Active Directory System 托管标识
问题描述
为了在 APIS 之间建立 Azure AD 系统托管标识,我在应用程序的清单中为我的目标 API 定义了一个自定义角色。
"appRoles": [
{
"allowedMemberTypes": [
"Application"
],
"description": "Allow the application to read all things as itself.",
"displayName": "Read all things",
"id": "86a914fa-a862-4962-9975-be5c9a05dca3",
"isEnabled": true,
"lang": null,
"origin": "Application",
"value": "Things.Read.All"
}
现在我想将此角色分配给将要调用它的 api,以便我可以在从 AzureServiceTokenProvider 收到的访问令牌中验证它。问题是我在应用注册中没有看到系统分配的身份。
标识(声明系统分配标识的位置)“Azure 角色分配”下有一个按钮,可导致添加角色分配。这里有一个可用的角色列表。我正在寻找我定义的自定义角色,它不在下拉列表中。
如何将定义的角色分配给系统身份,以便它可以访问它被允许的一个或多个 api,而不再访问?我希望在访问令牌中获得这个角色。这是正确的期望吗?
解决方案
您定义的是一个应用角色。但是“Azure 角色分配”是为订阅分配角色。它们完全是两种不同的东西。
您可以使用 Microsoft Graph API 将appRoleAssignment 授予服务主体。
POST https://graph.microsoft.com/v1.0/servicePrincipals/{id}/appRoleAssignedTo
Content-Type: application/json
Content-Length: 110
{
"principalId": "principalId-value",
"resourceId": "resourceId-value",
"appRoleId": "appRoleId-value"
}
在此示例中,{id}两者{resourceId-value}都是资源服务主体的对象 ID,它是与您在其中创建 appRoles 的 Azure AD 应用程序关联的企业应用程序。您可以像这样找到它:
并且{principalId-value}将是 Azure 资源托管标识的 ID。在这里找到它:
{appRoleId-value}是您在清单中创建的应用角色的 ID。
您可以使用管理员帐户登录Microsoft Graph Explorer以调用 Microsoft Graph API。
如果要验证结果是否成功,请导航到Azure Portal -> Azure Active Directory -> Enterprise applications -> All Applications。输入 Azure 资源的名称。
然后你会发现app角色(应用权限)已经被授予了。
推荐阅读
- javascript - 如何检查鼠标移出后变得不可见的dom元素?
- html - 正则表达式查找评论词并替换评论1
- google-apps-script - Search for text out of Datavalidation
- android - 当键盘出现时,用户无法使用搜索视图滚动到列表视图中的最后 4 个项目
- javascript - 如何使输入字段根据我们选择的数字出现
- dns - 以编程方式将域连接到服务器
- leaflet - smarty模板中传单的问题
- windows - 通过 shell 脚本使用用户名和密码 SSH 到远程 Windows 机器
- php - 无法使用 PHP 连接到 Algolia
- python - 按找到的第一个子字符串拆分字符串