Заявление о группах Azure Active Directory для приложения

Мы используем группы Active Directory для разных клиентов и их сотрудников. Настроить групповое утверждение accessToken для аутентифицированных пользователей просто. Теперь, когда приложение действует не от имени пользователя, а от своего имени (поток client_credentials), и приложение является членом группы AD, можно ли настроить утверждение accessToken для членства в приложении? Если да, то как?

Я попытался настроить его в конфигурации Azure / Active Directory / Token, но он дает только группу пользователей, прошедших проверку подлинности, а не группу самого приложения.

Спасибо.

thomasuebi 24.01.2021 источник

comment

Вы хотите настроить групповые утверждения для токенов приложений? - Carl Zhao 25.01.2021

Ответы (1)

arrow_upward
0
arrow_downward

Думаю, с вашим описанием проблема. Вы сказали в вопросе: и приложение является участником группы AD. Насколько мне известно, членами группы могут быть только пользователи, контакты организации, руководители служб или другие группы, и здесь нет приложения.

Я думаю, вы хотите сказать, что вы назначили пользователей или группы приложению (пожалуйста, поправьте меня, если я неправильно понимаю), например:

Насколько мне известно, для токенов приложений нет групповых заявлений (как вы сказали в вопросе, у токенов пользователя есть групповые заявки), потому что приложение не является членом группы. Если вы хотите получить группу, назначенную приложению, MS graph api - хороший выбор:

https://graph.microsoft.com/beta/servicePrincipals/{id}/appRoleAssignedTo

Вам необходимо заменить {id} на Object ID:

Carl Zhao 25.01.2021

comment

Спасибо за ваш ответ и предложение использовать API графиков. В группу пользователей можно добавлять приложения (типа субъектов-служб). - thomasuebi; 26.01.2021

comment

@thomasuebi Привет, это решило твою проблему? - Carl Zhao; 26.01.2021

Заявление о группах Azure Active Directory для приложения

Ответы (1)

Вопросы по теме