Да, вы можете, и вы можете обратиться к моей статье на эту тему: https://joonasw.net/view/calling-your-apis-with-aad-msi-using-app-permissions.
Вам нужно будет определить разрешения приложения в вашем API, а затем назначить их для участника службы MSI через PowerShell.или один из API-интерфейсов Graph.
Пример разрешения приложения в манифесте приложения API в AAD:
{
"appRoles": [
{
"allowedMemberTypes": [
"Application"
],
"displayName": "Read all things",
"id": "32028ccd-3212-4f39-3212-beabd6787d81",
"isEnabled": true,
"description": "Allow the application to read all things as itself.",
"value": "Things.Read.All"
}
]
}
Подробнее о разрешениях см. здесь: https://joonasw.net/view/defining-permissions-and-roles-in-aad.
Вы можетезатем назначьте это субъекту службы через AAD PowerShell:
Connect-AzureAD
New-AzureADServiceAppRoleAssignment -ObjectId 1606ffaf-7293-4c5b-b971-41ae9122bcfb -Id 32028ccd-3212-4f39-3212-beabd6787d81 -PrincipalId 1606ffaf-7293-4c5b-b971-41ae9122bcfb -ResourceId c3ccaf5a-47d6-4f11-9925-45ec0d833dec
ObjectId и PrincipalId - это сгенерированный MSI идентификатор субъекта службы.Идентификатор - это идентификатор роли / разрешения приложения.ResourceId - это идентификатор участника службы API.
После этого вы можете приобрести токены, используя управляемый идентификатор для API, и токен будет содержать разрешение приложения как "roles": "Things.Read.All".