Konfigurera rollanspråket

Du kan anpassa rollanspråket i åtkomsttoken som tas emot efter att ett program har auktoriserats. Använd den här funktionen om programmet förväntar sig anpassade roller i token. Du kan skapa så många roller som du behöver.

Förutsättningar

• En Microsoft Entra-prenumeration med en konfigurerad klientorganisation. Mer information finns i Snabbstart: Konfigurera en klientorganisation.
• Ett företagsprogram som har lagts till i klientorganisationen. Mer information finns i Snabbstart: Lägg till ett företagsprogram.
• Enkel inloggning (SSO) som konfigurerats för programmet. Mer information finns i Aktivera enkel inloggning för ett företagsprogram.
• Ett användarkonto som har tilldelats rollen. Mer information finns i Snabbstart: Skapa och tilldela ett användarkonto.

Leta upp företagsprogrammet

Använd följande steg för att hitta företagsprogrammet:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
2. Bläddra till Identity>Applications Enterprise-program>>Alla program.
3. Ange namnet på det befintliga programmet i sökrutan och välj sedan programmet i sökresultaten.
4. När programmet har valts kopierar du objekt-ID:t från översiktsfönstret.

Lägga till roller

Använd Microsoft Graph Explorer för att lägga till roller i ett företagsprogram.

1. Öppna Microsoft Graph Explorer i ett annat fönster och logga in med administratörsautentiseringsuppgifterna för din klientorganisation.

   Kommentar

   Rollen Molnprogramadministratör och programadministratör fungerar inte i det här scenariot. Använd den privilegierade rolladministratören.

2. Välj ändra behörigheter, välj Medgivande för Application.ReadWrite.All och behörigheterna Directory.ReadWrite.All i listan.

3. Ersätt <objectID> i följande begäran med objekt-ID:t som tidigare spelades in och kör sedan frågan:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Ett företagsprogram kallas även för tjänstens huvudnamn. Registrera egenskapen appRoles från objektet för tjänstens huvudnamn som returnerades. I följande exempel visas den typiska egenskapen appRoles:

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       }
     ]
   }
   

5. I Graph Explorer ändrar du metoden från GET till PATCH.

6. Kopiera egenskapen appRoles som tidigare spelades in i fönstret Begärandetext i Graph Explorer, lägg till den nya rolldefinitionen och välj sedan Kör fråga för att köra korrigeringsåtgärden. Ett meddelande om att rollen har skapats bekräftas. I följande exempel visas tillägget av en administratörsroll :

   {
     "appRoles": [
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "msiam_access",
         "displayName": "msiam_access",
         "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
         "isEnabled": true,
         "origin": "Application",
         "value": null
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Administrators Only",
         "displayName": "Admin",
         "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
         "isEnabled": true,
         "origin": "ServicePrincipal",
         "value": "Administrator"
       }
     ]
   }
   

   Du måste inkludera msiam_access rollobjektet utöver eventuella nya roller i begärandetexten. Om inga befintliga roller inkluderas i begärandetexten tar de bort dem från appRoles-objektet . Du kan också lägga till så många roller som din organisation behöver. Värdet för dessa roller skickas som anspråksvärdet i SAML-svaret. Om du vill generera GUID-värden för ID för nya roller använder du webbverktygen , till exempel Online GUID/UUID Generator. Egenskapen appRoles i svaret innehåller vad som fanns i begärandetexten i frågan.

Redigera attribut

Uppdatera attributen för att definiera rollanspråket som ingår i token.

1. Leta upp programmet i administrationscentret för Microsoft Entra och välj sedan Enkel inloggning på den vänstra menyn.
2. I avsnittet Attribut och anspråk väljer du Redigera.
3. Välj Lägg till nytt anspråk.
4. I rutan Namn skriver du attributnamnet. I det här exemplet används Rollnamn som anspråksnamn.
5. Lämna rutan Namnområde tom.
6. I listan Källattribut väljer du user.assignedroles.
7. Välj Spara. Det nya attributet Rollnamn bör nu visas i avsnittet Attribut och anspråk . Anspråket bör nu inkluderas i åtkomsttoken när du loggar in i programmet.

Tilldela roller

När tjänstens huvudnamn har korrigerats med fler roller kan du tilldela användare till respektive roller.

1. Leta upp programmet som rollen lades till i administrationscentret för Microsoft Entra.
2. Välj Användare och grupper på den vänstra menyn och välj sedan den användare som du vill tilldela den nya rollen.
3. Välj Redigera tilldelning överst i fönstret för att ändra rollen.
4. Välj Ingen markerad, välj rollen i listan och välj sedan Välj.
5. Välj Tilldela för att tilldela rollen till användaren.

Uppdatera roller

Utför följande steg för att uppdatera en befintlig roll:

1. Öppna Microsoft Graph Explorer.

2. Logga in på Webbplatsen Graph Explorer som privilegierad rolladministratör.

3. Använd objekt-ID:t för programmet från översiktsfönstret, ersätt <objectID> i följande begäran med det och kör sedan frågan:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Registrera egenskapen appRoles från objektet för tjänstens huvudnamn som returnerades.

5. I Graph Explorer ändrar du metoden från GET till PATCH.

6. Kopiera egenskapen appRoles som tidigare registrerades i fönstret Begärandetext i Graph Explorer, lägg till uppdatera rolldefinitionen och välj sedan Kör fråga för att köra korrigeringsåtgärden.

Ta bort roller

Utför följande steg för att ta bort en befintlig roll:

1. Öppna Microsoft Graph Explorer.

2. Logga in på Webbplatsen Graph Explorer som privilegierad rolladministratör.

3. Använd objekt-ID:t för programmet från översiktsfönstret i Azure Portal, ersätt <objectID> i följande begäran med det och kör sedan frågan:

   https://graph.microsoft.com/v1.0/servicePrincipals/<objectID>

4. Registrera egenskapen appRoles från objektet för tjänstens huvudnamn som returnerades.

5. I Graph Explorer ändrar du metoden från GET till PATCH.

6. Kopiera egenskapen appRoles som tidigare har registrerats i fönstret Begärandetext i Graph Explorer, ange värdet IsEnabled till false för den roll som du vill ta bort och välj sedan Kör fråga för att köra korrigeringsåtgärden. En roll måste inaktiveras innan den kan tas bort.

7. När rollen har inaktiverats tar du bort rollblocket från avsnittet appRoles . Behåll metoden som PATCH och välj Kör fråga igen.

Nästa steg

• Information om hur du anpassar anspråk finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram.