az ad app permission

Spravujte OAuth2 oprávnění aplikace.

Příkazy

az ad app permission add

Přidejte oprávnění rozhraní API.

az ad app permission admin-consent

Udělte aplikaci & delegovaná oprávnění prostřednictvím souhlasu správce.

az ad app permission delete

Odeberte oprávnění rozhraní API.

az ad app permission grant

Udělte aplikaci delegovaná oprávnění rozhraní API.

az ad app permission list

Vypíše oprávnění rozhraní API, které aplikace požaduje.

az ad app permission list-grants

Vypíše udělená oprávnění Oauth2.

az ad app permission add

Přidejte oprávnění rozhraní API.

K jeho aktivaci je potřeba vyvolání příkazu AZ AD App oprávnění GRANT.

Pokud chcete získat dostupná oprávnění pro aplikaci prostředků, spusťte az ad sp show --id <resource-appId> . Například pro získání dostupných oprávnění pro Graph API:

  • Azure Active Directory graf: az ad sp show --id 00000002-0000-0000-c000-000000000000
  • Microsoft Graph: az ad sp show --id 00000003-0000-0000-c000-000000000000 oprávnění aplikace v rámci appRoles vlastnosti odpovídají Role oprávněním v--API-. Delegovaná oprávnění pod oauth2Permissions vlastností odpovídají Scope oprávněním v--API-.
az ad app permission add --api
                         --api-permissions
                         --id

Příklady

Přidat uživatele delegovaného oprávnění Azure Active Directory graphu. Přečtěte si (Přihlaste se a přečtěte si profil uživatele).

az ad app permission add --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000 --api-permissions 311a71cc-e848-46a1-bdf8-97ff7156d8e6=Scope

Přidání oprávnění aplikace Azure Active Directory Graph Application. četl. All (čtení a zápis všech aplikací).

az ad app permission add --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000 --api-permissions 1cda74f2-2616-4834-b122-5cb1b07f8a59=Role

Povinné parametry

--api

Zadejte RequiredResourceAccess.resourceAppId – jedinečný identifikátor pro prostředek, ke kterému aplikace vyžaduje přístup. To by mělo být rovno appId deklarovanému v cílové aplikaci prostředků.

--api-permissions

Zadejte ResourceAccess.id – jedinečný identifikátor pro jednu z instancí OAuth2Permission nebo AppRole, které aplikace poskytující prostředky zpřístupňuje. Seznam oddělený mezerami <resource-access-id>=<type> .

--id

Identifikátor URI identifikátoru, ID aplikace nebo ID objektu.

Udělte aplikaci & delegovaná oprávnění prostřednictvím souhlasu správce.

Musíte se přihlásit jako správce adresáře.

az ad app permission admin-consent --id

Udělte aplikaci & delegovaná oprávnění prostřednictvím souhlasu správce. automaticky generované

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
--id

Identifikátor URI identifikátoru, ID aplikace nebo ID objektu.

az ad app permission delete

Odeberte oprávnění rozhraní API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Příklady

Odeberte oprávnění Azure Active Directory graphu.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000

Odebrat uživatele delegovaného oprávnění Azure Active Directory graphu. Přečtěte si (Přihlaste se a přečtěte si profil uživatele).

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000 --api-permissions 311a71cc-e848-46a1-bdf8-97ff7156d8e6

Povinné parametry

--api

Zadejte RequiredResourceAccess.resourceAppId – jedinečný identifikátor pro prostředek, ke kterému aplikace vyžaduje přístup. To by mělo být rovno appId deklarovanému v cílové aplikaci prostředků.

--id

Identifikátor URI identifikátoru, ID aplikace nebo ID objektu.

Volitelné parametry

--api-permissions

Zadejte ResourceAccess.id – jedinečný identifikátor pro jednu z instancí OAuth2Permission nebo AppRole, které aplikace poskytující prostředky zpřístupňuje. Seznam oddělený mezerami <resource-access-id> .

az ad app permission grant

Udělte aplikaci delegovaná oprávnění rozhraní API.

Při spuštění tohoto příkazu musí být pro aplikaci k dispozici objekt služby. Chcete-li vytvořit odpovídající instanční objekt, použijte az ad sp create --id {appId} . Pro oprávnění aplikací použijte prosím "souhlas správce oprávnění aplikace AD".

az ad app permission grant --api
                           --id
                           [--consent-type {AllPrincipals, Principal}]
                           [--expires]
                           [--principal-id]
                           [--scope]

Příklady

Udělení nativní aplikace s oprávněními pro přístup k existujícímu rozhraní API s TTL ze 2 let

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --expires 2

Povinné parametry

--api

Zadejte RequiredResourceAccess.resourceAppId – jedinečný identifikátor pro prostředek, ke kterému aplikace vyžaduje přístup. To by mělo být rovno appId deklarovanému v cílové aplikaci prostředků.

--id

Identifikátor URI identifikátoru, ID aplikace nebo ID objektu.

Volitelné parametry

--consent-type

Určuje, zda byl souhlas poskytnut správcem (jménem organizace) nebo jednotlivcem.

přijímané hodnoty: AllPrincipals, Principal
výchozí hodnota: AllPrincipals
--expires

Datum vypršení platnosti oprávnění v letech například 1, 2 nebo "nikdy".

výchozí hodnota: 1
--principal-id

Pokud je typ souhlasu-Type "Principal", tento argument určuje objekt uživatele, který udělil souhlas a vztahuje se pouze na daného uživatele.

--scope

Určuje hodnotu deklarace identity oboru, kterou by měla aplikace prostředků očekávat v přístupovém tokenu OAuth 2,0, třeba User. Read.

výchozí hodnota: user_impersonation

az ad app permission list

Vypíše oprávnění rozhraní API, které aplikace požaduje.

az ad app permission list --id
                          [--query-examples]

Příklady

Výpis oprávnění OAuth2 pro existující aplikaci AAD

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Povinné parametry

--id

Identifikátor URI identifikátoru, ID aplikace nebo ID objektu přidružené aplikace

Volitelné parametry

--query-examples

Doporučuje JMESPath řetězec. Můžete zkopírovat jeden z dotazů a vložit ho za parametr--Query do dvojitých uvozovek, aby se zobrazily výsledky. Můžete přidat jedno nebo více pozičních klíčových slov, abyste mohli poskytnout návrhy na základě těchto klíčových slov.

az ad app permission list-grants

Vypíše udělená oprávnění Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Příklady

Vypíše OAuth2 oprávnění udělená instančnímu objektu.

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Volitelné parametry

--filter

Filtr OData, např.--Filter "DisplayName EQ" test "and servicePrincipalType EQ" Application "".

--id

Identifikátor URI identifikátoru, ID aplikace nebo ID objektu.

--show-resource-name -r

Zobrazit zobrazovaný název prostředku

přijímané hodnoty: false, true