New-AzureADServiceAppRoleAssignment
Přiřadí roli aplikace uživateli, skupině nebo jinému instančnímu objektu.
Syntax
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>]
Description
Rutina New-AzureADServiceAppRoleAssignment přiřadí roli aplikace z instančního objektu prostředku uživateli, skupině nebo jinému instančnímu objektu. Role aplikací přiřazené k instančním objektům se také označují jako oprávnění aplikace.
Poznámka
Zde popsané chování platí, pokud Connect-AzureAD
bylo voláno bez jakýchkoli parametrů nebo pomocí identity aplikace vlastněné Microsoftem. Další informace o rozdílu při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem najdete v příkladu 4 .
Příklady
Příklad 1: Přiřazení role aplikace jinému instančnímu objektu
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
V tomto příkladu má instanční objekt klienta přiřazenou roli aplikace (oprávnění aplikace) definovanou instančním objektem prostředku (například rozhraní API):
ObjectId
: ObjectId instančního objektu prostředku (například rozhraní API).ResourceId
: ObjectId instančního objektu prostředku (například rozhraní API).Id
: ID role aplikace (definované v instančním objektu prostředku), které se má přiřadit k instančnímu objektu klienta. Pokud v aplikaci prostředků nejsou definované žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000
.PrincipalId
: ObjectId instančního objektu klienta, ke kterému přiřazujete roli aplikace.
Poznámka
Tento příklad platí, když Connect-AzureAD
byl volána bez jakýchkoli parametrů. V příkladu 4 se dozvíte, jak se tato rutina používá při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem.
Příklad 2: Přiřazení role aplikace uživateli
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectId
V tomto příkladu má uživatel přiřazenou roli aplikace definovanou aplikací prostředků:
ObjectId
: ObjectId instančního objektu aplikace.ResourceId
: ObjectId instančního objektu aplikace.Id
: ID role aplikace (definované v instančním objektu aplikace), které se přiřadí uživateli. Pokud pro aplikaci prostředků nebyly definovány žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000
k označení, že je aplikace přiřazená uživateli.PrincipalId
: ObjectId uživatele, kterému přiřazujete roli aplikace.
Poznámka
Tento příklad platí, když Connect-AzureAD
byl volána bez jakýchkoli parametrů. V příkladu 4 se dozvíte, jak se tato rutina používá při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem.
Příklad 3: Přiřazení role aplikace ke skupině
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectId
V tomto příkladu je skupině přiřazena role aplikace definovaná aplikací prostředků. Všichni uživatelé, kteří jsou přímými členy přiřazené skupiny, se považují za přiřazené role aplikace:
ObjectId
: ObjectId instančního objektu aplikace.ResourceId
: ObjectId instančního objektu aplikace.Id
: ID role aplikace (definované v instančním objektu aplikace), která se má přiřadit ke skupině. Pokud v aplikaci prostředků nejsou definované žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000
k označení, že je aplikace přiřazená ke skupině.PrincipalId
: ObjectId skupiny, ke které přiřazujete roli aplikace.
Poznámka
Tento příklad platí, když Connect-AzureAD
byl volána bez jakýchkoli parametrů. V příkladu 4 se dozvíte, jak se tato rutina používá při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem.
Příklad 4: Při připojení pomocí identity aplikace nebo služby vlastněné zákazníkem
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
Chování této rutiny se změní při připojení k modulu powershellu Azure AD pomocí registrace aplikace nebo identity služby vlastněné zákazníkem, včetně těchto:
- Při připojování jako instančního objektu a
- Při použití parametru
AadAccessToken
s přístupovým tokenem získaným pro registraci aplikace nebo identitu služby ve vlastnictví zákazníka.
Za těchto okolností se tato rutina používá pouze k přiřazení role aplikace jinému instančnímu objektu ObjectId
, který je identifikován parametry a PrincipalId
:
ObjectId
: ObjectId instančního objektu klienta, ke kterému přiřazujete roli aplikace.ResourceId
: ObjectId instančního objektu prostředku (například rozhraní API).Id
: ID role aplikace (definované v instančním objektu prostředku), které se má přiřadit k instančnímu objektu klienta. Pokud v aplikaci prostředků nejsou definované žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000
.PrincipalId
: ObjectId instančního objektu klienta, ke kterému přiřazujete roli aplikace.
Při připojení pomocí identity aplikace nebo služby vlastněné zákazníkem vytvořte přiřazení rolí aplikace pro uživatele a skupiny pomocí rutin New-AzureADUserAppRoleAssignment a New-AzureADGroupAppRoleAssignment .
Parametry
-Id
Určuje ID role aplikace (definované v instančním objektu prostředku), která se má přiřadit. Pokud v aplikaci prostředků nejsou definovány žádné role aplikace, můžete použít 00000000-0000-0000-0000-000000000000
k označení přiřazení aplikace nebo služby prostředků bez zadání role aplikace.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-InformationAction
Určuje, jak tato rutina reaguje na informační událost. Tento parametr přijímá tyto hodnoty:
- Pokračovat
- Ignorovat
- Dotazem
- SilentlyContinue
- Zastavit
- Suspend
Type: | ActionPreference |
Aliases: | infa |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-InformationVariable
Určuje informační proměnnou.
Type: | String |
Aliases: | iv |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ObjectId
Určuje ObjectId instančního objektu prostředku (například aplikace nebo rozhraní API), který bude přiřazen uživateli, skupině nebo jinému instančnímu objektu.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-PrincipalId
Určuje Id objektu uživatele, skupiny nebo jiného instančního objektu, ke kterému je přiřazena role aplikace.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ResourceId
Určuje ObjectId instančního objektu prostředku (například aplikace nebo rozhraní API), který bude přiřazen uživateli, skupině nebo jinému instančnímu objektu.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Poznámky
Projděte si průvodce migrací pro New-AzureADServiceAppRoleAssignment do Microsoft Graph PowerShellu.
Související odkazy
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro