Можно ли назначить приложение (как приложение или принципалу обслуживания) группе с программным путем через графический клиент или API? (Включая учетные данные пользователя приложения, необходимые для обеспечения доступа членов группы к приложению)Azure Active Directory - присвоить группе
Я искал всюду и не мог найти документацию для него.
Благодаря
Нет, 'Приложения' в Azure AD используются для авторизации сегмента и настройки в Azure AD. Это создает доверие между Azure AD и вашим приложением. Приложение не является пользователем.
Пользователи являются объектами Azure AD, которые имеют личность и могут быть авторизованы для доступа к ресурсам (например, к приложению). Пользователи могут быть добавлены в группы. Смотрите ссылку ниже для документации Azure AD График API:
https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/groups-operations#AddGroupMembers
И документацию на какой объект пользователя выглядит следующим образом:
https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/entity-and-complex-type-reference#UserEntity
Спасибо за ответ emseetea, но мы делаем имеют немного больше, чем это.
Назад к исходному вопросу - можете ли вы программно «назначить группу для приложения». Ответ - да, используя appRoleAssignments в главном сервисе. Принцип обслуживания представляет собой экземпляр приложения, который обычно предоставляется в качестве части разрешения на предоставление согласия. В этом конкретном экземпляре приложения для арендатора (принципала обслуживания) вы можете прикреплять конкретные разрешения и политику арендатора. Разрешения создаются как часть согласия, но вы также можете программно назначить роль приложения (определенную приложением) для пользователя или группы. Если роль приложения не назначена, вы можете выполнить присвоение по умолчанию. Вы можете найти немного больше на эту тему здесь http://blogs.msdn.com/b/aadgraphteam/archive/2014/12/12/announcing-the-new-version-of-graph-api-api-version-1-5.aspx, который описывает немного об этом с помощью некоторых примеров вызовов REST API.
Эта же операция также возможна через клиентскую библиотеку. Вы можете посмотреть https://github.com/Azure-Samples/active-directory-dotnet-graphapi-console. Посмотрите раздел «#region Assign Direct Permission». Это показывает, как назначить роль приложения пользователю. Вы можете сделать то же самое и в группе. Если ваше приложение не определяет роли приложений, установите для appRoleAssignment.Id нулевой идентификатор GUID.
Надеется, что это помогает,
Да, роли приложений очень полезны, но, с уважением, это не ответ на вопрос, что ОП спросил. Трудно угадать мотивацию оригинального вопроса OP без каких-либо подробностей, но вы можете быть правы, думая, что роли приложений применимы к основным целям OP. Я знаю, что я кое-что узнал из вашего ответа, поэтому спасибо за это. :) – emseetea
В основном, что я хочу сделать, это подражать добавлению приложения галереи в Azure Active Directory. что я был успешным, добавив принципала службы с идентификатором приложения из Azure Gallery. Когда я вручную (через Azure Portal) назначаю приложение группе, он запрашивает учетные данные администратора из приложения (скажем, Office 365, динамический CRM и т. Д.). Где я могу поместить эти учетные данные в код при добавлении роли приложения? – user1477327