Configurer l’authentification unique basée sur SAML pour votre application à l’aide de l’API Microsoft Graph
Dans cet article, vous allez découvrir comment créer et configurer une authentification unique basée sur SAML pour votre application dans Azure Active Directory (Azure AD) à l’aide de l’API Microsoft Graph. La configuration d’application inclut les URL SAML de base, une stratégie de mappage des revendications et l’utilisation d’un certificat pour ajouter une clé de signature personnalisée. Une fois l’application créée, vous devez attribuer le rôle d’administrateur à un utilisateur. Vous pouvez ensuite utiliser une URL pour obtenir les métadonnées Azure AD SAML pour une configuration supplémentaire de l’application.
Cet article utilise AWS comme exemple, mais vous pouvez suivre les étapes décrites dans cet article pour toutes les applications SAML dans la Galerie Azure AD.
Configuration requise
Ce didacticiel part du principe que vous utilisez l’Explorateur Graph, mais que vous pouvez utiliser Postman ou créer votre propre application cliente pour appeler Microsoft Graph. Pour appeler les API Microsoft Graph dans ce didacticiel, vous devez utiliser un compte avec le rôle Administrateur général et les autorisations appropriées. Pour ce didacticiel, les autorisations déléguéesApplication.ReadWrite.All, AppRoleAssignment.ReadWrite.All, Policy.Read.All, Policy.ReadWrite.ApplicationConfiguration et User.ReadWrite.All sont nécessaires. Pour définir des autorisations dans l’Explorateur Graph, effectuez les étapes suivantes :
Accédez à Explorateur Graph.
Sélectionnez Se connecter avec Microsoft et connectez-vous à l’aide d’un compte administrateur global AD. Une fois la connexion établie, les détails du compte d’utilisateur s’affichent dans le volet gauche.
Sélectionnez l’icône des paramètres à droite des détails du compte d’utilisateur, puis sélectionnez Sélectionner les autorisations.
Dans la liste des autorisations, faites défiler jusqu’à et développez AppRoleAssignment (1), puis sélectionnez l’autorisation AppRoleAssignment.ReadWrite.All. Faites défiler la page vers le bas et développez Application (2), puis sélectionnez l’autorisation Application.ReadWrite.All. Continuez vers et développez Stratégie(13), puis sélectionnez les autorisations Policy.Read.All et Policy.ReadWrite.ApplicationConfiguration . Enfin, faites défiler jusqu’à et développez Utilisateurs (8), puis sélectionnez User.ReadWrite.All.
Sélectionnez Accord, puis sélectionnez Accepter pour accepter le consentement des autorisations. Vous n’avez pas besoin de donner votre consentement au nom de votre organisation pour ces autorisations.
Étape 1 : créer l’application
Azure AD possède une galerie qui contient des milliers d’applications pré intégrées que vous pouvez utiliser comme modèle pour votre application. Le modèle d’application décrit les métadonnées pour cette application. À l’aide de ce modèle, vous pouvez créer une instance de l’application et du principal de service dans votre client à des fins de gestion.
Pour créer l’application à partir de la galerie, vous devez d’abord obtenir l’identificateur du modèle d’application, puis utiliser cet identificateur pour créer l’application.
Récupérez l’identificateur de modèle d’application de la Galerie
Dans ce didacticiel, vous récupérez l’identificateur du modèle d’application AWS Single Sign-on. Enregistrez la valeur de propriété id pour l’utiliser plus tard dans ce didacticiel.
Demande
GET https://graph.microsoft.com/v1.0/applicationTemplates?$filter=displayName eq 'AWS Single Sign-on'
Réponse
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#applicationTemplates",
"value": [
{
"id": "21ed01d2-ec13-4e9e-86c1-cd546719ebc4",
"displayName": "AWS Single Sign-on",
"homePageUrl": "https://aws.amazon.com/",
"supportedSingleSignOnModes": [
"saml",
"external"
],
"supportedProvisioningTypes": [
"sync"
],
"logoUrl": "https://az495088.vo.msecnd.net/app-logo/awssinglesignon_215.png",
"categories": [
"developerServices",
"itInfrastructure",
"security",
"New"
],
"publisher": "Amazon Web Services, Inc.",
"description": "Federate once to AWS SSO & use it to manage access centrally to multiple AWS accounts. Provision users via SCIM & get Azure AD single sign-in access to the AWS Console, CLI, & AWS SSO integrated apps."
}
]
}
Créez l’application
À l’aide de la valeur id récupérée pour votre modèle d’application dans la dernière étape, créer une instance de l’application et du principal de service dans votre client. Enregistrez la valeur de la propriété id de l’application et la valeur de la propriété id que le principal du service utilisera plus loin dans ce didacticiel.
Demande
POST https://graph.microsoft.com/v1.0/applicationTemplates/21ed01d2-ec13-4e9e-86c1-cd546719ebc4/instantiate
Content-type: application/json
{
"displayName": "AWS Contoso"
}
Notes
Patientez quelques instants pendant que l’application soit mise en service dans votre locataire Azure AD. Il n’est pas instantané. Une stratégie consiste à effectuer une requête GET sur l’objet d’application/principal de service toutes les 5 à 10 secondes jusqu’à ce que la requête soit réussie.
Réponse
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
"application": {
"id": "a9be408a-6c31-4141-8cea-52fcd4a61be8",
"appId": "17cad0e7-cd2b-4e51-a75d-ba810f3e4045",
"applicationTemplateId": "21ed01d2-ec13-4e9e-86c1-cd546719ebc4",
"createdDateTime": "2021-05-10T20:12:03Z",
"deletedDateTime": null,
"displayName": "AWS Contoso",
"groupMembershipClaims": null,
"identifierUris": [],
"isFallbackPublicClient": false,
"signInAudience": "AzureADMyOrg",
"tags": [],
"tokenEncryptionKeyId": null,
"defaultRedirectUri": null,
"optionalClaims": null,
"verifiedPublisher": {
"displayName": null,
"verifiedPublisherId": null,
"addedDateTime": null
},
"addIns": [],
"api": {
"acceptMappedClaims": null,
"knownClientApplications": [],
"requestedAccessTokenVersion": null,
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the application to access AWS Contoso on behalf of the signed-in user.",
"adminConsentDisplayName": "Access AWS Contoso",
"id": "6f891cd3-c132-4822-930b-f343b4515d19",
"isEnabled": true,
"type": "User",
"userConsentDescription": "Allow the application to access AWS Contoso on your behalf.",
"userConsentDisplayName": "Access AWS Contoso",
"value": "user_impersonation"
}
],
"preAuthorizedApplications": []
},
"appRoles": [
{
"allowedMemberTypes": [
"User"
],
"displayName": "User",
"id": "8774f594-1d59-4279-b9d9-59ef09a23530",
"isEnabled": true,
"description": "User",
"value": null,
"origin": "Application"
},
{
"allowedMemberTypes": [
"User"
],
"displayName": "msiam_access",
"id": "e7f1a7f3-9eda-48e0-9963-bd67bf531afd",
"isEnabled": true,
"description": "msiam_access",
"value": null,
"origin": "Application"
}
],
"info": {
"logoUrl": null,
"marketingUrl": null,
"privacyStatementUrl": null,
"supportUrl": null,
"termsOfServiceUrl": null
},
"keyCredentials": [],
"parentalControlSettings": {
"countriesBlockedForMinors": [],
"legalAgeGroupRule": "Allow"
},
"passwordCredentials": [],
"publicClient": {
"redirectUris": []
},
"requiredResourceAccess": [],
"web": {
"homePageUrl": "https://*.signin.aws.amazon.com/platform/saml/acs/*?metadata=awssinglesignon|ISV9.1|primary|z",
"redirectUris": []
}
},
"servicePrincipal": {
"id": "a750f6cf-2319-464a-bcc3-456926736a91",
"deletedDateTime": null,
"accountEnabled": true,
"appId": "17cad0e7-cd2b-4e51-a75d-ba810f3e4045",
"applicationTemplateId": "21ed01d2-ec13-4e9e-86c1-cd546719ebc4",
"appDisplayName": "AWS Contoso",
"alternativeNames": [],
"appOwnerOrganizationId": "8500cad3-193d-48a6-8d00-c129b114dc10",
"displayName": "AWS Contoso",
"appRoleAssignmentRequired": true,
"loginUrl": null,
"logoutUrl": null,
"homepage": "https://*.signin.aws.amazon.com/platform/saml/acs/*?metadata=awssinglesignon|ISV9.1|primary|z",
"notificationEmailAddresses": [],
"preferredSingleSignOnMode": null,
"preferredTokenSigningKeyThumbprint": null,
"replyUrls": [],
"servicePrincipalNames": [
"17cad0e7-cd2b-4e51-a75d-ba810f3e4045"
],
"servicePrincipalType": "Application",
"tags": [
"WindowsAzureActiveDirectoryIntegratedApp"
],
"tokenEncryptionKeyId": null,
"samlSingleSignOnSettings": null,
"verifiedPublisher": {
"displayName": null,
"verifiedPublisherId": null,
"addedDateTime": null
},
"addIns": [],
"appRoles": [
{
"allowedMemberTypes": [
"User"
],
"displayName": "User",
"id": "8774f594-1d59-4279-b9d9-59ef09a23530",
"isEnabled": true,
"description": "User",
"value": null,
"origin": "Application"
},
{
"allowedMemberTypes": [
"User"
],
"displayName": "msiam_access",
"id": "e7f1a7f3-9eda-48e0-9963-bd67bf531afd",
"isEnabled": true,
"description": "msiam_access",
"value": null,
"origin": "Application"
}
],
"info": {
"logoUrl": null,
"marketingUrl": null,
"privacyStatementUrl": null,
"supportUrl": null,
"termsOfServiceUrl": null
},
"keyCredentials": [],
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the application to access AWS Contoso on behalf of the signed-in user.",
"adminConsentDisplayName": "Access AWS Contoso",
"id": "6f891cd3-c132-4822-930b-f343b4515d19",
"isEnabled": true,
"type": "User",
"userConsentDescription": "Allow the application to access AWS Contoso on your behalf.",
"userConsentDisplayName": "Access AWS Contoso",
"value": "user_impersonation"
}
],
"passwordCredentials": []
}
}
Étape 2 : configuration de l’authentification unique
Dans ce didacticiel, vous définissez saml comme mode d'authentification unique dans le principal de service. Utilisez l’id du principal de service que vous avez enregistré précédemment.
Demande
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/a750f6cf-2319-464a-bcc3-456926736a91
Content-type: application/json
{
"preferredSingleSignOnMode": "saml"
}
Réponse
HTTP/1.1 204
Définir les URL SAML de base
À l’aide de l’id pour l’application que vous avez enregistré précédemment, définissez l’identificateur URI et redirigez URI pour AWS dans l’objet de l’application.
Demande
PATCH https://graph.microsoft.com/v1.0/applications/a9be408a-6c31-4141-8cea-52fcd4a61be8
Content-type: application/json
{
"web": {
"redirectUris": [
"https://signin.aws.amazon.com/saml"
]
},
"identifierUris": [
"https://signin.aws.amazon.com/saml"
]
}
Réponse
HTTP/1.1 204
Ajoutez des rôles d’application (facultatif)
Si l’application nécessite les informations de rôle dans le jeton, ajoutez la définition des rôles dans l’objet application.
Notes
Lorsque vous ajoutez des rôles d’application, ne modifiez pas les rôles d’application par défaut msiam_access.
Utilisez l’id du principal de service que vous avez enregistré précédemment.
Demande
PATCH https://graph.microsoft.com/v1.0/serviceprincipals/a750f6cf-2319-464a-bcc3-456926736a91
Content-type: application/json
{
"appRoles": [
{
"allowedMemberTypes": [
"User"
],
"displayName": "User",
"id": "8774f594-1d59-4279-b9d9-59ef09a23530",
"isEnabled": true,
"description": "User",
"value": null,
"origin": "Application"
},
{
"allowedMemberTypes": [
"User"
],
"displayName": "msiam_access",
"id": "e7f1a7f3-9eda-48e0-9963-bd67bf531afd",
"isEnabled": true,
"description": "msiam_access",
"value": null,
"origin": "Application"
},
{
"allowedMemberTypes": [
"User"
],
"description": "Admin,WAAD",
"displayName": "Admin,WAAD",
"id": "3a84e31e-bffa-470f-b9e6-754a61e4dc63",
"isEnabled": true,
"value": "arn:aws:iam::212743507312:role/accountname-aws-admin,arn:aws:iam::212743507312:saml-provider/WAAD"
},
{
"allowedMemberTypes": [
"User"
],
"description": "Finance,WAAD",
"displayName": "Finance,WAAD",
"id": "7a960000-ded3-455b-8c04-4f2ace00319b",
"isEnabled": true,
"value": "arn:aws:iam::212743507312:role/accountname-aws-finance,arn:aws:iam::212743507312:saml-provider/WAAD"
}
]
}
Réponse
HTTP/1.1 204
Étape 3 : configurer la mise en correspondance des revendications
Créez une stratégie de mappage de revendications
Outre les revendications de base, configurez les revendications suivantes pour Azure AD afin de les émettre dans le jeton SAML :
| Nom de la revendication | Source |
|---|---|
https://aws.amazon.com/SAML/Attributes/Role |
assignedroles |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
userprincipalname |
https://aws.amazon.com/SAML/Attributes/SessionDuration |
« 900 » |
| rôles | assignedroles |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
userprincipalname |
Notes
Certaines clés de la stratégie de mappage des revendications respectent la casse (par exemple, « Version »). Si vous recevez un message d’erreur tel que « Propriété a une valeur non valide », il peut s’agir d’un problème sensible à la casse.
Créez la stratégie de mappage des revendications et enregistrez la valeur de la propriété id à utiliser plus loin dans ce didacticiel.
Demande
POST https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies
Content-type: application/json
{
"definition": [
"{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\", \"ClaimsSchema\": [{\"Source\":\"user\",\"ID\":\"assignedroles\",\"SamlClaimType\": \"https://aws.amazon.com/SAML/Attributes/Role\"}, {\"Source\":\"user\",\"ID\":\"userprincipalname\",\"SamlClaimType\": \"https://aws.amazon.com/SAML/Attributes/RoleSessionName\"}, {\"Value\":\"900\",\"SamlClaimType\": \"https://aws.amazon.com/SAML/Attributes/SessionDuration\"}, {\"Source\":\"user\",\"ID\":\"assignedroles\",\"SamlClaimType\": \"appRoles\"}, {\"Source\":\"user\",\"ID\":\"userprincipalname\",\"SamlClaimType\": \"https://aws.amazon.com/SAML/Attributes/nameidentifier\"}]}}"
],
"displayName": "AWS Claims Policy",
"isOrganizationDefault": false
}
Réponse
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/claimsMappingPolicies/$entity",
"id": "4bce7ba7-466d-4239-94b8-cf4f21428ca7",
"deletedDateTime": null,
"definition": [
"{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\", \"ClaimsSchema\": [{\"Source\":\"user\",\"ID\":\"assignedroles\",\"SamlClaimType\": \"https://aws.amazon.com/SAML/Attributes/Role\"}, {\"Source\":\"user\",\"ID\":\"userprincipalname\",\"SamlClaimType\": \"https://aws.amazon.com/SAML/Attributes/RoleSessionName\"}, {\"Value\":\"900\",\"SamlClaimType\": \"https://aws.amazon.com/SAML/Attributes/SessionDuration\"}, {\"Source\":\"user\",\"ID\":\"assignedroles\",\"SamlClaimType\": \"appRoles\"}, {\"Source\":\"user\",\"ID\":\"userprincipalname\",\"SamlClaimType\": \"https://aws.amazon.com/SAML/Attributes/nameidentifier\"}]}}"
],
"displayName": "AWS Claims Policy",
"isOrganizationDefault": false
}
Attribuez une stratégie de mappage de revendications au principal de service
Utilisez l’id pour principal de service que vous avez enregistré précédemment pour lui affecter une stratégie de mappage des revendications. Utilisez la valeur de la propriété id pour la stratégie de mappage des revendications dans le corps de la demande.
Demande
POST https://graph.microsoft.com/v1.0/servicePrincipals/a750f6cf-2319-464a-bcc3-456926736a91/claimsMappingPolicies/$ref
Content-type: application/json
{
"@odata.id":"https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/a4b35718-fd5e-4ca8-8248-a3c9934b1b78"
}
Réponse
HTTP/1.1 204
Étape 4 :Configurer le certificat de signature
Vous avez besoin d’un certificat auto-signé qu’Azure AD peut utiliser pour signer une réponse SAML. Vous pouvez utiliser votre propre certificat ou l’exemple suivant.
Créer un certificat de signature
À l’aide de l’ID du principal du service que vous avez créé, créez un certificat et ajoutez-le au principal du service.
Demande
POST https://graph.microsoft.com/v1.0/servicePrincipals/a750f6cf-2319-464a-bcc3-456926736a91/addTokenSigningCertificate
Content-type: application/json
{
"displayName":"CN=AWSContoso",
"endDateTime":"2024-01-25T00:00:00Z"
}
Réponse
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.selfSignedCertificate",
"customKeyIdentifier": "p9PEYmuKhP2oaMzGfSdNQC/9ChA=",
"displayName": "CN=AWSContoso",
"endDateTime": "2024-01-25T00:00:00Z",
"key": "MIICqjCCAZKgAwIBAgIId....4rnrk43wp75yqjRbOhAZ1ExAxVqW+o2JslhjUeltUMNQW+ynOfs9oHu1ZdnGmxrE=",
"keyId": "70883316-50be-4016-ba80-19d9fbad873d",
"startDateTime": "2021-05-10T20:35:37.5754318Z",
"thumbprint": "A7D3C4626B8A84FDA868CCC67D274D402FFD0A10",
"type": "AsymmetricX509Cert",
"usage": "Verify"
}
Activez la clé de signature personnalisée
Vous devez affecter à la propriété preferredTokenSigningKeyThumbprint à l’empreinte du certificat que vous voulez qu’Azure AD utilise pour signer la réponse SAML.
Demande
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/a750f6cf-2319-464a-bcc3-456926736a91
Content-type: application/json
{
"preferredTokenSigningKeyThumbprint": "A7D3C4626B8A84FDA868CCC67D274D402FFD0A10"
}
Réponse
HTTP/1.1 204
Étape 5 : Affecter des utilisateurs
Créez un compte d’utilisateur
Pour ce didacticiel, vous créez un compte d’utilisateur qui est ajouté à l’application. Dans le corps de la demande, modifiez contoso.com pour le nom de domaine de votre client. Vous trouverez des informations sur le client dans la page de vue d’ensemble d’Azure Active Directory. Enregistrez l’id d’utilisateur à utiliser plus loin dans ce didacticiel.
Demande
POST https://graph.microsoft.com/v1.0/users
Content-type: application/json
{
"accountEnabled":true,
"displayName":"MyTestUser1",
"mailNickname":"MyTestUser1",
"userPrincipalName":"MyTestUser1@contoso.com",
"passwordProfile": {
"forceChangePasswordNextSignIn":true,
"password":"Contoso1234"
}
}
Réponse
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
"id": "040f9599-7c0f-4f94-aa75-8394c4c6ea9b",
"businessPhones": [],
"displayName": "MyTestUser1",
"userPrincipalName": "MyTestUser1@contoso.com"
}
Affecter un utilisateur à l’application
Affectez l’utilisateur suivant au principal de service et attribuez le rôle application Admin,WAAD.
Dans le corps de la demande, fournissez les valeurs ci-après :
- principalId : id du compte d’utilisateur que vous avez créé.
- appRoleId : id du rôle application
Admin,WAADque vous avez ajouté. - RessourceId : id du principal de service.
Demande
POST https://graph.microsoft.com/v1.0/servicePrincipals/a750f6cf-2319-464a-bcc3-456926736a91/appRoleAssignments
Content-type: application/json
{
"principalId": "040f9599-7c0f-4f94-aa75-8394c4c6ea9b",
"principalType": "User",
"appRoleId":"3a84e31e-bffa-470f-b9e6-754a61e4dc63",
"resourceId":"a750f6cf-2319-464a-bcc3-456926736a91"
}
Réponse
HTTP/1.1 201
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('a750f6cf-2319-464a-bcc3-456926736a91')/appRoleAssignments/$entity",
"id": "mZUPBA98lE-qdYOUxMbqm2qY3odGRGdFtpYJkAfUC0Q",
"deletedDateTime": null,
"appRoleId": "3a84e31e-bffa-470f-b9e6-754a61e4dc63",
"createdDateTime": "2021-05-10T21:04:11.0480851Z",
"principalDisplayName": "MyTestUser1",
"principalId": "040f9599-7c0f-4f94-aa75-8394c4c6ea9b",
"principalType": "User",
"resourceDisplayName": "AWS Contoso",
"resourceId": "a750f6cf-2319-464a-bcc3-456926736a91"
}
Étape 6 : obtenir les métadonnées Azure AD SAML
Utilisez l’URL suivante pour obtenir les métadonnées Azure AD SAML pour l’application configurée spécifique. Les métadonnées contiennent des informations telles que le certificat de signature, Azure AD entityID et Azure AD SingleSignOnService, entre autres.
https://login.microsoftonline.com/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={app-id}
Voici un exemple de ce que vous pouvez voir pour votre application :
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" ID="_05fbbf53-e892-43c9-9300-1f6738ace02c" entityID="https://sts.windows.net/2f82f566-5953-43f4-9251-79c6009bdf24/">
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
...
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/2f82f566-5953-43f4-9251-79c6009bdf24/saml2"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/2f82f566-5953-43f4-9251-79c6009bdf24/saml2"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://login.microsoftonline.com/2f82f566-5953-43f4-9251-79c6009bdf24/saml2"/>
</IDPSSODescriptor>
</EntityDescriptor>
Étape 7 : nettoyer les ressources
Dans cette étape, vous supprimez les ressources que vous avez créées.
Supprimer l’application
Supprimez l’application que vous avez créée.
Demande
DELETE https://graph.microsoft.com/v1.0/applications/a9be408a-6c31-4141-8cea-52fcd4a61be8
Réponse
No Content - 204
Supprimez le compte d’utilisateur
Supprimez le compte d’utilisateur MyTestUser1.
Demande
DELETE https://graph.microsoft.com/v1.0/users/040f9599-7c0f-4f94-aa75-8394c4c6ea9b
Réponse
No Content - 204
Supprimer la stratégie de mappage de revendications
Supprimer la stratégie de mappage de revendications.
Demande
DELETE https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/a4b35718-fd5e-4ca8-8248-a3c9934b1b78
Réponse
No Content - 204
Voir aussi
- Pour AWS, vous pouvez activer la mise en service des utilisateurs pour récupérer tous les rôles de ce compte AWS. Pour plus d’informations, consultez Configurer la revendication de rôle émise dans le jeton SAML.
- Personnaliser les réclamations émises sous forme de jetons pour une application spécifique chez un locataire.
- Vous pouvez utiliser l'API applicationTemplate pour instancier des applications sans galerie. Utilisez applicationTemplateId
8adf8e6e-67b2-4cf2-a259-e3dc5476c621. - applicationTemplate
- appRoleAssignment
- servicePrincipal
- application
- claimsMappingPolicy
- keyCredential
- addTokenSigningCertificate
Commentaires
Envoyer et afficher des commentaires pour