az ad app permission

  • Referencia

Administrar los permisos de OAuth2 de una aplicación.

Comandos

az ad app permission add

Agregue un permiso de API.
az ad app permission admin-consent

Conceda a Application & permisos delegados a través del consentimiento del administrador.
az ad app permission delete

Quite un permiso de API.
az ad app permission grant

Conceda a la aplicación permisos delegados de API.
az ad app permission list

Enumerar los permisos de API que la aplicación ha solicitado.
az ad app permission list-grants

Enumera las concesiones de permisos de Oauth2.

az ad app permission add

Editar

Agregue un permiso de API.

Se necesita invocar "az ad app permission grant" para activarlo.

Para obtener los permisos disponibles de la aplicación de recursos, ejecute az ad sp show --id <resource-appId>. Por ejemplo, para obtener permisos disponibles para Microsoft Graph API, ejecute az ad sp show --id 00000003-0000-0000-c000-000000000000. Los permisos de aplicación de la appRoles propiedad corresponden a Role en --api-permissions. Los permisos delegados en la oauth2Permissions propiedad corresponden a Scope en --api-permissions.

az ad app permission add --api
                         --api-permissions
                         --id

Ejemplos

Agregue el permiso delegado de Microsoft Graph User.Read (Iniciar sesión y leer el perfil de usuario).

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Agregue el permiso de aplicación de Microsoft Graph Application.ReadWrite.All (leer y escribir todas las aplicaciones).

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Parámetros requeridos

--api

RequiredResourceAccess.resourceAppId: identificador único del recurso al que la aplicación requiere acceso. Debe ser igual al appId declarado en la aplicación de recurso de destino.

--api-permissions

Lista separada por espacios de {id}={type}. {id} es resourceAccess.id: el identificador único de una de las instancias de oauth2PermissionScopes o appRole que expone la aplicación de recursos. {type} es resourceAccess.type: especifica si la propiedad id hace referencia a oauth2PermissionScopes o a appRole. Los valores posibles son: Ámbito (para ámbitos de permisos de OAuth 2.0) o Rol (para roles de aplicación).

--id

Identificador URI, identificador de aplicación o id. de objeto.

Editar

Conceda a Application & permisos delegados a través del consentimiento del administrador.

Debe iniciar sesión como administrador global.

az ad app permission admin-consent --id

Conceda a Application & permisos delegados a través del consentimiento del administrador. (generado automáticamente)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
--id

Identificador URI, identificador de aplicación o id. de objeto.

az ad app permission delete

Editar

Quite un permiso de API.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Ejemplos

Quite los permisos de Azure Active Directory Graph.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000

Quite el permiso delegado user.read de Azure Active Directory Graph (iniciar sesión y leer el perfil de usuario).

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000 --api-permissions 311a71cc-e848-46a1-bdf8-97ff7156d8e6

Parámetros requeridos

--api

RequiredResourceAccess.resourceAppId: identificador único del recurso al que la aplicación requiere acceso. Debe ser igual al appId declarado en la aplicación de recurso de destino.

--id

Identificador URI, identificador de aplicación o id. de objeto.

Parámetros opcionales

--api-permissions

Especifique ResourceAccess.id : el identificador único de una de las instancias de OAuth2Permission o AppRole que expone la aplicación de recursos. Lista separada por espacios de <resource-access-id>.

az ad app permission grant

Editar

Conceda a la aplicación permisos delegados de API.

Una entidad de servicio debe existir para la aplicación al ejecutar este comando. Para crear una entidad de servicio correspondiente, use az ad sp create --id {appId}. Para los permisos de aplicación, use "ad app permission admin-consent".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Ejemplos

Concesión de una aplicación nativa con permisos para acceder a una API existente con TTL de 2 años

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Parámetros requeridos

--api, --resource-id

Identificador de la entidad de servicio de recursos a la que está autorizado el acceso. Esto identifica la API a la que está autorizado el cliente para intentar llamar en nombre de un usuario que ha iniciado sesión.

--id, --client-id

Identificador de la entidad de servicio de cliente para la aplicación que está autorizada para actuar en nombre de un usuario que ha iniciado sesión al acceder a una API.

--scope

Lista separada por espacios de los valores de notificación para los permisos delegados que se deben incluir en los tokens de acceso para la aplicación de recursos (la API). Por ejemplo, openid User.Read GroupMember.Read.All. Cada valor de notificación debe coincidir con el campo de valor de uno de los permisos delegados definidos por la API, enumerados en la propiedad oauth2PermissionScopes de la entidad de servicio de recursos.

Parámetros opcionales

--consent-type

Indica si se concede autorización a la aplicación cliente para suplantar a todos los usuarios o solo a un usuario específico. "AllPrincipals" indica la autorización para suplantar a todos los usuarios. "Principal" indica la autorización para suplantar a un usuario específico. Un administrador puede conceder el consentimiento en nombre de todos los usuarios. Los usuarios que no son administradores pueden estar autorizados para dar su consentimiento en nombre de sí mismos en algunos casos, para algunos permisos delegados.

valores aceptados: AllPrincipals, Principal
valor predeterminado: AllPrincipals
--principal-id

Identificador del usuario en nombre del que está autorizado el cliente para acceder al recurso, cuando consentType es "Principal". Si consentType es "AllPrincipals", este valor es NULL. Obligatorio cuando consentType es "Principal".

az ad app permission list

Editar

Enumerar los permisos de API que la aplicación ha solicitado.

az ad app permission list --id

Ejemplos

Enumeración de los permisos de OAuth2 para una aplicación de AAD existente

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Parámetros requeridos

--id

Identificador URI, identificador de aplicación o identificador de objeto de la aplicación asociada.

az ad app permission list-grants

Editar

Enumera las concesiones de permisos de Oauth2.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Ejemplos

enumerar permisos de oauth2 concedidos a la entidad de servicio

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Parámetros opcionales

--filter

Filtro OData, por ejemplo, --filter "displayname eq 'test' y servicePrincipalType eq 'Application'".

--id

Identificador URI, identificador de aplicación o id. de objeto.

--show-resource-name -r

Mostrar el nombre para mostrar del recurso.

valores aceptados: false, true