az ad app permission
애플리케이션의 OAuth2 권한을 관리합니다.
명령
Name | Description | 형식 | 상태 |
---|---|---|---|
az ad app permission add |
API 권한을 추가합니다. |
핵심 | GA |
az ad app permission admin-consent |
관리자 동의를 통해 애플리케이션 및 위임된 권한을 부여합니다. |
핵심 | GA |
az ad app permission delete |
API 권한을 제거합니다. |
핵심 | GA |
az ad app permission grant |
앱에 API 위임 권한을 부여합니다. |
핵심 | GA |
az ad app permission list |
애플리케이션이 요청한 API 권한을 나열합니다. |
핵심 | GA |
az ad app permission list-grants |
Oauth2 권한 부여를 나열합니다. |
핵심 | GA |
az ad app permission add
API 권한을 추가합니다.
활성화하려면 "az ad app permission grant"를 호출해야 합니다.
리소스 앱의 사용 가능한 권한을 얻으려면 다음을 실행 az ad sp show --id <resource-appId>
합니다. 예를 들어 Microsoft Graph API에 사용 가능한 권한을 얻으려면 다음을 실행 az ad sp show --id 00000003-0000-0000-c000-000000000000
합니다. 속성 아래의 appRoles
애플리케이션 사용 권한은 --api-permissions에 해당 Role
합니다. 속성 아래 oauth2Permissions
의 위임된 권한은 --api-permissions에 해당 Scope
합니다.
Microsoft Graph 권한에 대한 자세한 내용은 다음을 참조하세요 https://zcusa.951200.xyz/graph/permissions-reference.
az ad app permission add --api
--api-permissions
--id
예제
Microsoft Graph 위임 권한 User.Read 추가
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope
Microsoft Graph 애플리케이션 권한 Application.ReadWrite.All 추가
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role
필수 매개 변수
RequiredResourceAccess.resourceAppId - 애플리케이션에 액세스해야 하는 리소스의 고유 식별자입니다. 이는 대상 리소스 애플리케이션에 선언된 appId와 같아야 합니다.
{id}={type}의 공백으로 구분된 목록입니다. {id}는 resourceAccess.id - 리소스 애플리케이션이 노출하는 oauth2PermissionScopes 또는 appRole 인스턴스 중 하나에 대한 고유 식별자입니다. {type}은 resourceAccess.type - id 속성이 oauth2PermissionScopes 또는 appRole을 참조하는지 여부를 지정합니다. 가능한 값은 범위(OAuth 2.0 권한 범위의 경우) 또는 역할(앱 역할의 경우)입니다.
식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.
전역 매개 변수
로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.
이 도움말 메시지를 표시하고 종료합니다.
오류만 표시하고, 경고를 표시하지 않습니다.
출력 형식입니다.
JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.
구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID
를 사용하여 기본 위치를 구성할 수 있습니다.
로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.
az ad app permission admin-consent
관리자 동의를 통해 애플리케이션 및 위임된 권한을 부여합니다.
전역 관리자로 로그인해야 합니다.
az ad app permission admin-consent --id
예제
관리자 동의를 통해 애플리케이션 및 위임된 권한을 부여합니다. (자동 생성됨)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
필수 매개 변수
식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.
전역 매개 변수
로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.
이 도움말 메시지를 표시하고 종료합니다.
오류만 표시하고, 경고를 표시하지 않습니다.
출력 형식입니다.
JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.
구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID
를 사용하여 기본 위치를 구성할 수 있습니다.
로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.
az ad app permission delete
API 권한을 제거합니다.
az ad app permission delete --api
--id
[--api-permissions]
예제
Microsoft Graph 권한을 제거합니다.
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000
Microsoft Graph 위임 권한 사용자 제거.읽기
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d
필수 매개 변수
RequiredResourceAccess.resourceAppId - 애플리케이션에 액세스해야 하는 리소스의 고유 식별자입니다. 이는 대상 리소스 애플리케이션에 선언된 appId와 같아야 합니다.
식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.
선택적 매개 변수
지정 ResourceAccess.id
- 리소스 애플리케이션이 노출하는 OAuth2Permission 또는 AppRole 인스턴스 중 하나에 대한 고유 식별자입니다. 공백으로 구분된 .<resource-access-id>
전역 매개 변수
로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.
이 도움말 메시지를 표시하고 종료합니다.
오류만 표시하고, 경고를 표시하지 않습니다.
출력 형식입니다.
JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.
구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID
를 사용하여 기본 위치를 구성할 수 있습니다.
로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.
az ad app permission grant
앱에 API 위임 권한을 부여합니다.
이 명령을 실행할 때 앱에 대한 서비스 주체가 있어야 합니다. 해당 서비스 주체를 만들려면 .를 사용합니다 az ad sp create --id {appId}
.
애플리케이션 사용 권한의 경우 "광고 앱 권한 관리자 동의"를 사용하세요.
az ad app permission grant --api,
--id,
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]
예제
TTL이 2년인 기존 API에 액세스할 수 있는 권한이 있는 네이티브 애플리케이션 부여
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All
필수 매개 변수
액세스 권한이 부여된 리소스 서비스 주체의 ID입니다. 그러면 로그인한 사용자를 대신하여 호출을 시도할 수 있는 권한이 클라이언트에 부여된 API가 식별됩니다.
API에 액세스할 때 로그인한 사용자를 대신하여 작업할 권한이 있는 애플리케이션에 대한 클라이언트 서비스 주체의 ID입니다.
리소스 애플리케이션(API)에 대한 액세스 토큰에 포함되어야 하는 위임된 권한에 대한 클레임 값의 공백으로 구분된 목록입니다. 예를 들어 openid User.Read GroupMember.Read.All입니다. 각 클레임 값은 리소스 서비스 주체의 oauth2PermissionScopes 속성에 나열된 API에서 정의한 위임된 권한 중 하나의 값 필드와 일치해야 합니다.
선택적 매개 변수
클라이언트 애플리케이션이 모든 사용자 또는 특정 사용자만 가장할 수 있도록 권한 부여를 부여할지 여부를 나타냅니다. 'AllPrincipals'는 모든 사용자를 가장하기 위한 권한 부여를 나타냅니다. '보안 주체'는 특정 사용자를 가장하기 위한 권한 부여를 나타냅니다. 관리자가 모든 사용자를 대신하여 동의를 부여할 수 있습니다. 관리자가 아닌 사용자는 일부 위임된 권한에 대해 자신을 대신하여 동의할 수 있는 권한을 부여받을 수 있습니다.
consentType이 '보안 주체'인 경우 클라이언트가 리소스에 액세스할 수 있는 권한이 있는 사용자를 대신하여 사용자의 ID입니다. consentType이 'AllPrincipals'이면 이 값은 null입니다. consentType이 'Principal'인 경우 필요합니다.
전역 매개 변수
로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.
이 도움말 메시지를 표시하고 종료합니다.
오류만 표시하고, 경고를 표시하지 않습니다.
출력 형식입니다.
JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.
구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID
를 사용하여 기본 위치를 구성할 수 있습니다.
로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.
az ad app permission list
애플리케이션이 요청한 API 권한을 나열합니다.
az ad app permission list --id
예제
애플리케이션에 대한 OAuth2 권한을 나열합니다.
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234
필수 매개 변수
연결된 애플리케이션의 식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.
전역 매개 변수
로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.
이 도움말 메시지를 표시하고 종료합니다.
오류만 표시하고, 경고를 표시하지 않습니다.
출력 형식입니다.
JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.
구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID
를 사용하여 기본 위치를 구성할 수 있습니다.
로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.
az ad app permission list-grants
Oauth2 권한 부여를 나열합니다.
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]
예제
서비스 주체에게 부여된 oauth2 권한 나열
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456
선택적 매개 변수
OData 필터(예: --filter "displayname eq 'test' and servicePrincipalType eq 'Application'")
식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.
리소스의 표시 이름을 표시합니다.
전역 매개 변수
로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.
이 도움말 메시지를 표시하고 종료합니다.
오류만 표시하고, 경고를 표시하지 않습니다.
출력 형식입니다.
JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.
구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID
를 사용하여 기본 위치를 구성할 수 있습니다.
로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.
Azure CLI