Rol talebi yapılandırma

Bir uygulama yetkilendirildikten sonra alınan erişim belirtecinde rol talebi özelleştirebilirsiniz. Uygulamanız belirteçte özel roller bekliyorsa bu özelliği kullanın. Size gereken sayıda rol oluşturabilirsiniz.

Önkoşullar

Not

Bu makalede API'leri kullanarak hizmet sorumlusunda uygulama rollerinin nasıl oluşturulacağı, güncelleştirileceği veya silineceği açıklanmaktadır. Uygulama Rolleri için yeni kullanıcı arabirimini kullanmak için bkz . Uygulamanıza uygulama rolleri ekleme ve bunları belirteçte alma.

Kurumsal uygulamayı bulma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Kurumsal uygulamayı bulmak için aşağıdaki adımları kullanın:

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Tüm uygulamalar'a göz atın.
  3. Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.
  4. Uygulama seçildikten sonra, genel bakış bölmesinden nesne kimliğini kopyalayın.

Rol ekleme

Kurumsal uygulamaya rol eklemek için Microsoft Graph Gezgini'ni kullanın.

  1. Microsoft Graph Gezgini'ni başka bir pencerede açın ve kiracınızın yönetici kimlik bilgilerini kullanarak oturum açın.

    Not

    Bulut Uygulaması Yöneticisi ve Uygulama Yöneticisi rolü bu senaryoda çalışmaz, Ayrıcalıklı Rol Yöneticisi'ni kullanın.

  2. İzinleri değiştir'i ve listedeki izinler için Directory.ReadWrite.AllApplication.ReadWrite.All Onay'ı seçin.

  3. Aşağıdaki istekteki değerini daha önce kaydedilmiş olan nesne kimliğiyle değiştirin <objectID> ve sorguyu çalıştırın:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Kurumsal bir uygulama, hizmet sorumlusu olarak da adlandırılır. Döndürülen hizmet sorumlusu nesnesinden appRoles özelliğini kaydedin. Aşağıdaki örnekte tipik appRoles özelliği gösterilmektedir:

    {
      "appRoles": [
        {
          "allowedMemberTypes": [
            "User"
          ],
          "description": "msiam_access",
          "displayName": "msiam_access",
          "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
          "isEnabled": true,
          "origin": "Application",
          "value": null
        }
      ]
    }
    
  5. Graph Explorer'da get yöntemini PATCH olarak değiştirin.

  6. Daha önce Graf Gezgini'nin İstek gövdesi bölmesine kaydedilmiş appRoles özelliğini kopyalayın, yeni rol tanımını ekleyin ve düzeltme eki işlemini yürütmek için Sorgu çalıştır'ı seçin. Başarı iletisi, rolün oluşturulmasını onaylar. Aşağıdaki örnekte Yönetici rolünün eklenmesi gösterilmektedir:

    {
      "appRoles": [
        {
          "allowedMemberTypes": [
            "User"
          ],
          "description": "msiam_access",
          "displayName": "msiam_access",
          "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
          "isEnabled": true,
          "origin": "Application",
          "value": null
        },
        {
          "allowedMemberTypes": [
            "User"
          ],
          "description": "Administrators Only",
          "displayName": "Admin",
          "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
          "isEnabled": true,
          "origin": "ServicePrincipal",
          "value": "Administrator"
        }
      ]
    }
    

    İstek gövdesine msiam_access yeni rollere ek olarak rol nesnesini de eklemeniz gerekir. İstek gövdesine mevcut rollerin eklenememesi bunları appRoles nesnesinden kaldırır. Ayrıca, kuruluşunuzun ihtiyaç duyduğu kadar rol ekleyebilirsiniz. Bu rollerin değeri, SAML yanıtında talep değeri olarak gönderilir. Yeni rollerin kimliği için GUID değerlerini oluşturmak için Çevrimiçi GUID / UUID Oluşturucu gibi web araçlarını kullanın. Yanıttaki appRoles özelliği, sorgunun istek gövdesinde ne olduğunu içerir.

Öznitelikleri düzenleme

Belirteçte yer alan rol talebi tanımlamak için öznitelikleri güncelleştirin.

  1. Microsoft Entra yönetim merkezinde uygulamayı bulun ve soldaki menüden Çoklu oturum açma'yı seçin.
  2. Öznitelikler ve Talepler bölümünde Düzenle'yi seçin.
  3. Yeni talep ekle'yi seçin.
  4. Ad kutusuna öznitelik adını yazın. Bu örnekte talep adı olarak Rol Adı kullanılır.
  5. Ad Alanı kutusunu boş bırakın.
  6. Kaynak öznitelik listesinden user.assignedroles öğesini seçin.
  7. Kaydet'i seçin. Yeni Rol Adı özniteliği artık Öznitelikler ve Talepler bölümünde görünmelidir. Talep artık uygulamada oturum açarken erişim belirtecine dahil edilmelidir.

Rol atama

Hizmet sorumlusuna daha fazla rolle düzeltme eki uygulamadan sonra, kullanıcıları ilgili rollere atayabilirsiniz.

  1. Rolün eklendiği uygulamayı Microsoft Entra yönetim merkezinde bulun.
  2. Soldaki menüden Kullanıcılar ve gruplar'ı ve ardından yeni rolü atamak istediğiniz kullanıcıyı seçin.
  3. Rolü değiştirmek için bölmenin üst kısmındaki Atamayı düzenle'yi seçin.
  4. Hiçbiri Seçilmedi'yi seçin, listeden rolü seçin ve ardından Seç'i seçin.
  5. Rolü kullanıcıya atamak için Ata'yı seçin.

Rolleri güncelleştirme

Mevcut bir rolü güncelleştirmek için aşağıdaki adımları uygulayın:

  1. Microsoft Graph Gezgini'ne gidin.

  2. Graph Explorer sitesinde Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  3. Genel bakış bölmesinden uygulamanın nesne kimliğini kullanarak, aşağıdaki istekte değerini onunla değiştirin <objectID> ve sorguyu çalıştırın:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Döndürülen hizmet sorumlusu nesnesinden appRoles özelliğini kaydedin.

  5. Graph Explorer'da get yöntemini PATCH olarak değiştirin.

  6. Daha önce Graph Explorer'ın İstek gövdesi bölmesine kaydedilmiş appRoles özelliğini kopyalayın, rol tanımını güncelleştirin ve ardından düzeltme eki işlemini yürütmek için Sorgu Çalıştır'ı seçin.

Rolleri silme

Mevcut bir rolü silmek için aşağıdaki adımları uygulayın:

  1. Microsoft Graph Gezgini'ne gidin.

  2. Graph Explorer sitesinde Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  3. Azure portalındaki genel bakış bölmesinden uygulamanın nesne kimliğini kullanarak aşağıdaki istekteki değerini onunla değiştirin <objectID> ve sorguyu çalıştırın:

    https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

  4. Döndürülen hizmet sorumlusu nesnesinden appRoles özelliğini kaydedin.

  5. Graph Explorer'da get yöntemini PATCH olarak değiştirin.

  6. Daha önce Graf Gezgini'nin İstek gövdesi bölmesine kaydedilmiş appRoles özelliğini kopyalayın, silmek istediğiniz rol için IsEnabled değerini false olarak ayarlayın ve ardından düzeltme eki işlemini yürütmek için Sorguyu Çalıştır'ı seçin. Bir rolün silinebilmesi için devre dışı bırakılması gerekir.

  7. Rol devre dışı bırakıldıktan sonra bu rol bloğunu appRoles bölümünden silin. Yöntemini PATCH olarak tutun ve Sorguyu Çalıştır'ı yeniden seçin.

Sonraki adımlar

  • Talepleri özelleştirme hakkında bilgi için bkz . Kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirme.