Как установить свойства субъекта службы Azure Active Directory из кода?

Question

Я создал приложение AAD из галереи. Один в разделе регистрации приложений и один в корпоративных приложениях. Приложение регистрирует приложение и указывает на приложение предприятия (управляемое приложение в локальном каталоге).

Я хочу настроить единый вход SAML для приложения предприятия. Есть несколько обязательных свойств, которые необходимо установить.

Я могу установить Sign on URL (с помощью Graph API), но не могу установите Identifier (Entity ID) и Reply URL. Я думал, что это сработает:

Set-AzureADApplication -ObjectId <id of app from App registrations> 
         -IdentifierUris $Identifiers -ReplyUrls $ReplyUrls

, но корпоративное приложение остается нетронутым. Также Set-AzureADServicePrincipal, похоже, не работает для меня.

Нет ошибок. Ничего не изменилось на портале после refre sh. Я подключен к правильному арендатору и у меня установлены модули fre sh.

Я пробовал также с RM: Update-AzureRmADApplication, Set-AzureRmADApplication, Set-AzureRmADServicePrincipal, Update-AzureRmADServicePrincipal. Я также не смог найти рабочий график API.

Есть ли способ сделать это из кода? Может я просто что-то делаю не так и у тебя работает? Буду благодарен за помощь. Спасибо

Answer 1

, но корпоративное приложение остается нетронутым.

На самом деле, предприятие затронуто, мы можем проверить его через Microsoft Graph после использования Set-AzureADApplication, оно просто не появляется на портале, может быть ошибкой, я не уверен .

$Identifiers = @(
    "http://www.tableau.com/products/server",
    "https://azure.idtest.link"
)
$ReplyUrls = @(
    "https://azure.rptest.link/wg/saml/SSO/index.html"
)
Set-AzureADApplication -ObjectId <object-id of the AD App> -IdentifierUris $Identifiers -ReplyUrls $ReplyUrls 

Если мы установим их на портале в первый раз , затем снова запустите команды, вы увидите, что это работает.

И похоже, что нет способа установить Default Reply URL с помощью Powershell или API, если мы установим Reply URL, который отличается от того, который был установлен вручную на портале, у него будет приглашение, подобное приведенному ниже.

Но если мы посмотрим на это, на самом деле опция Default отмечена.

Обновление:

В конце концов, я нахожу уловка, это не ошибка, нам просто нужно сначала установить preferredSingleSignOnMode для субъекта службы через Microsoft Graph, а затем нам не нужно настраивать это на портале вручную.

Пример: * 104 5 *

PATCH https://graph.microsoft.com/beta/servicePrincipals/<object-id of the service principal>

{
  "preferredSingleSignOnMode":"saml",
  "loginUrl": "https://azure.signtest.link"
}