Azure AD - связывание ролей с группами

Question

В Azure AD у меня есть группы по всему клиенту, но для приложений у меня есть роли, определенные в манифесте приложения, в области "appRoles".

Где найти или настроить сопоставление между ролями приложения и группами арендатора?

Можно ли позвонить в Microsoft Graph, чтобы увидетьидентификатор для роли, идентификатор для группы и идентификатор для связи между группой и ролью?

Я думал, что вызов servicePrincipal в Microsoft Graph может предоставить этот идентификатор ассоциации для сопоставления,но я не вижу информации об ассоциации, возможно, потому, что мне нужно специально настроить сопоставление.

Насколько я понимаю, может существовать сопоставление между группами арендатора и ролями, специфичными для приложения, поэтому, еслиАрендатор имеет сто групп, но только 3 группы относятся к приложению, эти три группы могут быть в приложении в качестве ролей в разделе «appRoles», и когда пользователь входит в это приложение, в нем потенциально могут быть только эти 3 роли / группы.Токен JWT вместо 100 групп, которые могут не относиться к приложению.

Answer 1

Что вам нужно, это Получить appRoleAssignment .( Обратите внимание , что использование /beta API в рабочих приложениях не поддерживается.)

https://graph.microsoft.com/beta/groups/{group id}/appRoleAssignments

Вот пример ответа:

{
  "id": "vYC9THsQiUaIO0_OAVavTkhETv6Zy7pKlmGdjahzx6o",
  "creationTimestamp": "2019-09-25T03:30:02.739514Z",
  "appRoleId": "d1c2ade8-98f8-45fd-aa4a-6d06b947c66f",
  "principalDisplayName": "TestAllenG",
  "principalId": "4cbd80bd-107b-4689-883b-4fce0156af4e",
  "principalType": "Group",
  "resourceDisplayName": "AllenTestBot001",
  "resourceId": "f958f02e-6d83-43f0-8a86-a08fe42f1aab"
}

"appRoleId "- это идентификатор appRole.«resourceId» - это идентификатор servicePrincipal.