New-AzureADServiceAppRoleAssignment
Přiřadí roli aplikace uživateli, skupině nebo jinému instančnímu objektu.
Syntaxe
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>] Description
Rutina New-AzureADServiceAppRoleAssignment přiřadí roli aplikace z instančního objektu prostředku uživateli, skupině nebo jinému instančnímu objektu. Role aplikací přiřazené k instančním objektům se také označují jako oprávnění aplikace.
Poznámka
Zde popsané chování platí, pokud Connect-AzureAD bylo voláno bez jakýchkoli parametrů nebo pomocí identity aplikace vlastněné Microsoftem. Další informace o rozdílu při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem najdete v příkladu 4 .
Příklady
Příklad 1: Přiřazení role aplikace jinému instančnímu objektu
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdV tomto příkladu má instanční objekt klienta přiřazenou roli aplikace (oprávnění aplikace) definovanou instančním objektem prostředku (například rozhraní API):
-
ObjectId: ObjectId instančního objektu prostředku (například rozhraní API). -
ResourceId: ObjectId instančního objektu prostředku (například rozhraní API). -
Id: ID role aplikace (definované v instančním objektu prostředku), které se má přiřadit k instančnímu objektu klienta. Pokud v aplikaci prostředků nejsou definované žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId instančního objektu klienta, ke kterému přiřazujete roli aplikace.
Poznámka
Tento příklad platí, když Connect-AzureAD byl volána bez jakýchkoli parametrů. V příkladu 4 se dozvíte, jak se tato rutina používá při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem.
Příklad 2: Přiřazení role aplikace uživateli
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectIdV tomto příkladu má uživatel přiřazenou roli aplikace definovanou aplikací prostředků:
-
ObjectId: ObjectId instančního objektu aplikace. -
ResourceId: ObjectId instančního objektu aplikace. -
Id: ID role aplikace (definované v instančním objektu aplikace), které se přiřadí uživateli. Pokud pro aplikaci prostředků nebyly definovány žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000k označení, že je aplikace přiřazená uživateli. -
PrincipalId: ObjectId uživatele, kterému přiřazujete roli aplikace.
Poznámka
Tento příklad platí, když Connect-AzureAD byl volána bez jakýchkoli parametrů. V příkladu 4 se dozvíte, jak se tato rutina používá při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem.
Příklad 3: Přiřazení role aplikace ke skupině
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectIdV tomto příkladu je skupině přiřazena role aplikace definovaná aplikací prostředků. Všichni uživatelé, kteří jsou přímými členy přiřazené skupiny, se považují za přiřazené role aplikace:
-
ObjectId: ObjectId instančního objektu aplikace. -
ResourceId: ObjectId instančního objektu aplikace. -
Id: ID role aplikace (definované v instančním objektu aplikace), která se má přiřadit ke skupině. Pokud v aplikaci prostředků nejsou definované žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000k označení, že je aplikace přiřazená ke skupině. -
PrincipalId: ObjectId skupiny, ke které přiřazujete roli aplikace.
Poznámka
Tento příklad platí, když Connect-AzureAD byl volána bez jakýchkoli parametrů. V příkladu 4 se dozvíte, jak se tato rutina používá při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem.
Příklad 4: Při připojení pomocí identity aplikace nebo služby vlastněné zákazníkem
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdChování této rutiny se změní při připojení k modulu Azure AD PowerShell pomocí registrace aplikace nebo identity služby vlastněné zákazníkem, včetně těchto:
- Při připojování jako instančního objektu a
- Při použití parametru
AadAccessTokens přístupovým tokenem získaným pro registraci aplikace nebo identitu služby ve vlastnictví zákazníka.
Za těchto okolností se tato rutina používá pouze k přiřazení role aplikace jinému instančnímu objektu ObjectId , který je identifikován parametry a PrincipalId :
-
ObjectId: ObjectId instančního objektu klienta, ke kterému přiřazujete roli aplikace. -
ResourceId: ObjectId instančního objektu prostředku (například rozhraní API). -
Id: ID role aplikace (definované v instančním objektu prostředku), které se má přiřadit k instančnímu objektu klienta. Pokud v aplikaci prostředků nejsou definované žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId instančního objektu klienta, ke kterému přiřazujete roli aplikace.
Při připojení pomocí identity aplikace nebo služby vlastněné zákazníkem vytvořte přiřazení rolí aplikace pro uživatele a skupiny pomocí rutin New-AzureADUserAppRoleAssignment a New-AzureADGroupAppRoleAssignment .
Parametry
-Id
Určuje ID role aplikace (definované v instančním objektu prostředku), která se má přiřadit. Pokud v aplikaci prostředků nejsou definovány žádné role aplikace, můžete použít 00000000-0000-0000-0000-000000000000 k označení přiřazení aplikace nebo služby prostředků bez zadání role aplikace.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
-InformationAction
Určuje, jak tato rutina reaguje na informační událost. Tento parametr přijímá tyto hodnoty:
- Pokračovat
- Ignorovat
- Dotazem
- SilentlyContinue
- Zastavit
- Suspend
| Typ: | ActionPreference |
| Aliasy: | infa |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
-InformationVariable
Určuje informační proměnnou.
| Typ: | String |
| Aliasy: | iv |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
-ObjectId
Určuje ObjectId instančního objektu prostředku (například aplikace nebo rozhraní API), který bude přiřazen uživateli, skupině nebo jinému instančnímu objektu.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-PrincipalId
Určuje Id objektu uživatele, skupiny nebo jiného instančního objektu, ke kterému je přiřazena role aplikace.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
-ResourceId
Určuje ObjectId instančního objektu prostředku (například aplikace nebo rozhraní API), který bude přiřazen uživateli, skupině nebo jinému instančnímu objektu.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
Poznámky
Projděte si průvodce migrací pro New-AzureADServiceAppRoleAssignment do Microsoft Graph PowerShellu.