amazon-web-services - 是否可以自动将组分配到 Azure AD 企业应用程序(特别是 AWS SSO)?
问题描述
在 Azure AD 中,我有一个企业应用程序设置,用于通过 AWS 进行 SSO 访问。
是否可以以编程方式将安全组分配给企业应用程序?
不清楚 Terraform、az cli 或 PowerShell 模块如何实现这一点。用户和组已在 AWS IAM 中成功预置,并且 IdP 启动的 SSO 登录工作正常,因此我确信企业应用程序设置正确。
这是我的企业应用程序的图像
并向其中添加一个组
解决方案
您可以使用Microsoft Graph 服务主体 API来执行此操作。每个企业应用程序都是带有appRoleAssignments的服务主体。
要创建绑定到安全组的新分配,您可以使用为服务主体授予 appRoleAssignment,如下所示。
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
{
"principalId": "{resource id - Security Group ID in your case}",
"resourceId": "{servicePrincipalId}", // service principal/entreprise app id
"appRoleId": "{The default app role ID (00000000-0000-0000-0000-000000000000) or your app role id}" // See https://docs.microsoft.com/en-us/graph/api/resources/approle?view=graph-rest-1.0
}
如果此选项对您有用,那么您可以使用 MS Graph PowerShell SDK 命令New-MgServicePrincipalAppRoleAssignedTo。
推荐阅读
- generics - Dagger MutableLiveData 标识符
- sql - 将数组放入 WHERE IN 子句 Ruby on Rails
- sql - 如何获得每个岛屿的第一排和最后一排?
- javascript - 如何在数组Javascript上查找字符串的索引
- javascript - 当我修改 img src 时,jsPDF 不打印 img
- python - 如何在python中使用地理编码器获取邮政编码,提供地理坐标
- express - 将异步等待与猫鼬和快递一起使用
- flutter - 是否可以创建一个函数来使用 FutureBuilder,而不必重复代码?
- javascript - 反应日期选择器过滤日期问题
- c - `typedef` 在这种情况下是什么意思