將具有角色的用戶添加到應用註冊中

Question

我可以看到您可以使用圖API創建應用註冊，但是可以將用戶和角色添加到應用註冊中嗎？

Answer 1

如果你想分配一個用戶到該應用程序，在一個指定的應用程序角色，你需要設置用戶appRoleAssignment 。如果使用Azure的AD圖形API，你可以使用下面的REST API：

https://graph.windows.net/{tenant-id}/users/{username}/appRoleAssignments?api-version={api-version} 
Content-Type:application/json 
Authorization: Bearer {token} 
{ 
    "id": "RoleID", 
    "principalId": "UserObjectID", 
    "principalType": "User", 
    "resourceId": "servicePrincipalID" 
} 

ID：這是ID爲您要分配的作用。這些Id可以在Application's Manifest中找到。或者你可以使用下面的API來獲取你的應用程序（appRoles要求）中定義的特定角色：

https://graph.windows.net/{tenant}/applications/{ObjectIDOfApplication}?api-version=1.6 

principalId：這是您要分配的角色，用戶的Obeject標識。

principalType：如果您將此角色分配給用戶，則將其設置爲字符串User。

resourceId：應用程序的服務主體標識。要獲得服務主體ID，您可以使用下面的api（objectId索賠）：

https://graph.windows.net/{tenant}/servicePrincipals?api-version=1.6&$filter=appId eq 'appid' 

Answer 2

應用角色分配可在微軟圖形測試版端點：看Update approleassignment

爲了給你什麼可以做應用角色分配添加到用戶的想法，我建議你看看Configure.ps1的PowerShell GitHub上的active-directory-dotnet-webapp-roleclaims示例腳本，它創建給定角色的測試用戶並更新應用程序註冊。這是在PowerShell中，但你應該能夠適應它使用MSGraph