Configurar a declaração de função

Artigo
02/21/2024

Você pode personalizar a declaração de função no token de acesso que é recebido depois que um aplicativo é autorizado. Use esse recurso se seu aplicativo espera funções personalizadas no token. Pode criar tantas funções quantas necessárias.

Pré-requisitos

Uma assinatura do Microsoft Entra com um locatário configurado. Para obter mais informações, consulte Guia de início rápido: configurar um locatário.
Um aplicativo empresarial que foi adicionado ao locatário. Para obter mais informações, consulte Guia de início rápido: adicionar um aplicativo empresarial.
Logon único (SSO) configurado para o aplicativo. Para obter mais informações, consulte Habilitar logon único para um aplicativo empresarial.
Uma conta de usuário atribuída à função. Para obter mais informações, consulte Guia de início rápido: criar e atribuir uma conta de usuário.

Nota

Este artigo explica como criar, atualizar ou excluir funções de aplicativo na entidade de serviço usando APIs. Para usar a nova interface do usuário para Funções de Aplicativo, consulte Adicionar funções de aplicativo ao seu aplicativo e recebê-las no token.

Localize o aplicativo corporativo

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Use as seguintes etapas para localizar o aplicativo empresarial:

Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação nos resultados da pesquisa.
Depois que o aplicativo for selecionado, copie o ID do objeto do painel de visão geral.

Adicionar funções

Use o Microsoft Graph Explorer para adicionar funções a um aplicativo empresarial.

Abra o Microsoft Graph Explorer em outra janela e entre usando as credenciais de administrador para seu locatário.

Nota

A função Cloud Application Administrator e Application Administrator não funcionará neste cenário, use o Privileged Role Administrator.
Selecione modificar permissões, selecione Consentimento para o Application.ReadWrite.All e as Directory.ReadWrite.All permissões na lista.
Substitua <objectID> a seguinte solicitação pela ID do objeto que foi gravada anteriormente e, em seguida, execute a consulta:

https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

Um aplicativo corporativo também é conhecido como uma entidade de serviço. Registre a propriedade appRoles do objeto principal de serviço que foi retornado. O exemplo a seguir mostra a propriedade appRoles típica:

{
  "appRoles": [
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "msiam_access",
      "displayName": "msiam_access",
      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
      "isEnabled": true,
      "origin": "Application",
      "value": null
    }
  ]
}

No Graph Explorer, altere o método de GET para PATCH.
Copie a propriedade appRoles que foi registrada anteriormente no painel Corpo da solicitação do Graph Explorer, adicione a nova definição de função e selecione Executar consulta para executar a operação de patch. Uma mensagem de sucesso confirma a criação da função. O exemplo a seguir mostra a adição de uma função Admin :
```
{
  "appRoles": [
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "msiam_access",
      "displayName": "msiam_access",
      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
      "isEnabled": true,
      "origin": "Application",
      "value": null
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "Administrators Only",
      "displayName": "Admin",
      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
      "isEnabled": true,
      "origin": "ServicePrincipal",
      "value": "Administrator"
    }
  ]
}
```
Você deve incluir o objeto de função, msiam_access além de quaisquer novas funções no corpo da solicitação. A falha ao incluir quaisquer funções existentes no corpo da solicitação as remove do objeto appRoles . Além disso, você pode adicionar quantas funções sua organização precisar. O valor dessas funções é enviado como o valor da declaração na resposta SAML. Para gerar os valores GUID para a ID de novas funções, use as ferramentas da Web, como o Online GUID / UUID Generator. A propriedade appRoles na resposta inclui o que estava no corpo da solicitação da consulta.

Editar atributos

Atualize os atributos para definir a declaração de função incluída no token.

Localize o aplicativo no centro de administração do Microsoft Entra e selecione Logon único no menu à esquerda.
Na seção Atributos & Declarações, selecione Editar.
Selecione Adicionar nova declaração.
Na caixa Nome, digite o nome do atributo. Este exemplo usa Role Name como o nome da declaração.
Deixe a caixa Namespace em branco.
Na lista Atributo Source, selecione user.assignedroles.
Selecione Guardar. O novo atributo Nome da Função agora deve aparecer na seção Atributos & Declarações . A declaração agora deve ser incluída no token de acesso ao entrar no aplicativo.

Atribuir funções

Depois que a entidade de serviço for corrigida com mais funções, você poderá atribuir usuários às respetivas funções.

Localize o aplicativo ao qual a função foi adicionada no centro de administração do Microsoft Entra.
Selecione Usuários e grupos no menu esquerdo e, em seguida, selecione o usuário ao qual você deseja atribuir a nova função.
Selecione Editar atribuição na parte superior do painel para alterar a função.
Selecione Nenhum Selecionado, selecione a função na lista e, em seguida, selecione Selecionar.
Selecione Atribuir para atribuir a função ao usuário.

Atualizar funções

Para atualizar uma função existente, execute as seguintes etapas:

Abra o Microsoft Graph Explorer.
Entre no site do Graph Explorer como um Administrador de Função Privilegiada.
Usando o ID do objeto para o aplicativo no painel de visão geral, substitua <objectID> a seguinte solicitação por ele e execute a consulta:

https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Registre a propriedade appRoles do objeto principal de serviço que foi retornado.
No Graph Explorer, altere o método de GET para PATCH.
Copie a propriedade appRoles que foi gravada anteriormente no painel Corpo da solicitação do Graph Explorer, adicione atualizar a definição de função e selecione Executar consulta para executar a operação de patch.

Excluir funções

Para excluir uma função existente, execute as seguintes etapas:

Abra o Microsoft Graph Explorer.
Entre no site do Graph Explorer como um Administrador de Função Privilegiada.
Usando a ID do objeto para o aplicativo no painel de visão geral no portal do Azure, substitua <objectID> a seguinte solicitação por ele e execute a consulta:

https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>
Registre a propriedade appRoles do objeto principal de serviço que foi retornado.
No Graph Explorer, altere o método de GET para PATCH.
Copie a propriedade appRoles que foi registrada anteriormente no painel Corpo da solicitação do Graph Explorer, defina o valor IsEnabled como false para a função que você deseja excluir e selecione Executar consulta para executar a operação de patch. Uma função deve ser desativada antes de poder ser excluída.
Depois que a função for desabilitada, exclua esse bloco de função da seção appRoles . Mantenha o método como PATCH e selecione Executar consulta novamente.

Próximos passos

Para obter informações sobre como personalizar declarações, consulte Personalizar declarações emitidas no token SAML para aplicativos corporativos.

Partilhar via