是否可以通过图形客户端或API以编程方式将应用程序(作为应用程序或服务主体)分配给组?(包括允许该组成员访问该应用所需的应用用户凭据)
我找遍了所有地方都找不到相关的文档。
谢谢
不,Azure AD中的"应用程序"用于在Azure AD中划分授权和设置。它在Azure AD和应用程序之间创建信任。应用程序不是用户。
用户是具有身份的Azure AD实体,可以被授权访问资源(如应用程序)。用户可以添加到组中。请参阅下面的Azure AD图形API文档链接:
https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/groups-operations AddGroupMembers
和关于用户实体的文档:
https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/entity-and-complex-type-reference UserEntity
谢谢你的回答,但我们确实有更多。
回到最初的问题——你可以通过编程方式"为一个应用程序分配一个组"吗?答案是肯定的,在服务主体上使用apleassignments。服务主体代表一个应用程序实例,它通常作为许可授予的一部分提供。在这个特定于租户的应用实例(服务主体)上,您可以附加特定于租户的权限和策略。权限是作为同意的一部分创建的,但是您也可以通过编程方式将应用程序角色(由应用程序定义)分配给用户或组。如果没有分配应用程序角色,那么您可以进行"默认"分配。你可以在这里找到关于这个主题的更多信息http://blogs.msdn.com/b/aadgraphteam/archive/2014/12/12/announcing-the-new-version-of-graph-api-api-version-1-5.aspx,它通过一些示例REST API调用描述了一些关于这个主题的内容。
通过客户端库也可以进行相同的操作。你可以看看https://github.com/Azure-Samples/active-directory-dotnet-graphapi-console。看看标题为"#region Assign Direct Permission"的部分。这展示了如何将应用程序角色分配给用户。你也可以在群组中做同样的事情。如果你的应用没有指定任何应用角色,设置appRoleAssignment。Id为零GUID。
希望有帮助,