az ad app permission

  • Referencia

Az alkalmazás OAuth2-engedélyeinek kezelése.

Parancsok

az ad app permission add

API-engedély hozzáadása.
az ad app permission admin-consent

Delegált engedélyeket adhat az alkalmazásnak & rendszergazdai hozzájárulással.
az ad app permission delete

API-engedély eltávolítása.
az ad app permission grant

Adjon az alkalmazásnak delegált API-engedélyeket.
az ad app permission list

Az alkalmazás által kért API-engedélyek listázása.
az ad app permission list-grants

Oauth2 engedélytámogatások listázása.

az ad app permission add

Szerkesztés

API-engedély hozzáadása.

Az "az ad app permission grant" meghívása szükséges az aktiválásához.

Az erőforrásalkalmazás elérhető engedélyeinek lekéréséhez futtassa a következőt az ad sp show --id <resource-appId>: . Például a Microsoft Graph API elérhető engedélyeinek lekéréséhez futtassa a következőtaz ad sp show --id 00000003-0000-0000-c000-000000000000: . A tulajdonság alatti alkalmazásengedélyek az appRoles --api-engedélyeknek felelnek meg Role . A tulajdonsághoz tartozó delegált engedélyek az oauth2Permissions --api-engedélyeknek felelnek meg Scope .

az ad app permission add --api
                         --api-permissions
                         --id

Példák

Microsoft Graph delegált user.read engedély hozzáadása (bejelentkezés és felhasználói profil olvasása).

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope

Microsoft Graph-alkalmazás engedélyének hozzáadása Application.ReadWrite.All (Az összes alkalmazás olvasása és írása).

az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role

Kötelező paraméterek

--api

RequiredResourceAccess.resourceAppId – Annak az erőforrásnak az egyedi azonosítója, amelyhez az alkalmazásnak hozzáférésre van szüksége. Ennek egyenlőnek kell lennie a célerőforrás-alkalmazásban deklarált appId azonosítóval.

--api-permissions

A(z) {id}={type} szóközzel elválasztott listája. A(z) {id} resourceAccess.id – Az erőforrásalkalmazás által elérhetővé tesz oauth2PermissionScopes vagy appRole példányok egyikének egyedi azonosítója. {type} a resourceAccess.type – Meghatározza, hogy az azonosító tulajdonság hivatkozik-e oauth2PermissionScopesra vagy appRole-ra. A lehetséges értékek a következők: Hatókör (OAuth 2.0 engedélyhatókörök esetén) vagy Szerepkör (alkalmazásszerepkörök esetén).

--id

Azonosító URI, alkalmazásazonosító vagy objektumazonosító.

Szerkesztés

Delegált engedélyeket adhat az alkalmazásnak & rendszergazdai hozzájárulással.

Globális rendszergazdaként kell bejelentkeznie.

az ad app permission admin-consent --id

Delegált engedélyeket adhat az alkalmazásnak & rendszergazdai hozzájárulással. (automatikusan generált)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
--id

Azonosító URI, alkalmazásazonosító vagy objektumazonosító.

az ad app permission delete

Szerkesztés

API-engedély eltávolítása.

az ad app permission delete --api
                            --id
                            [--api-permissions]

Példák

Távolítsa el az Azure Active Directory Graph-engedélyeket.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000

Távolítsa el az Azure Active Directory Graph által delegált User.Read jogosultságot (bejelentkezés és felhasználói profil olvasása).

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000 --api-permissions 311a71cc-e848-46a1-bdf8-97ff7156d8e6

Kötelező paraméterek

--api

RequiredResourceAccess.resourceAppId – Annak az erőforrásnak az egyedi azonosítója, amelyhez az alkalmazásnak hozzáférésre van szüksége. Ennek egyenlőnek kell lennie a célerőforrás-alkalmazásban deklarált appId azonosítóval.

--id

Azonosító URI, alkalmazásazonosító vagy objektumazonosító.

Opcionális paraméterek

--api-permissions

Adja meg ResourceAccess.id – Az erőforrás-alkalmazás által elérhetővé tesz OAuth2Permission vagy AppRole-példányok egyedi azonosítója. Szóközzel elválasztott lista a következőből <resource-access-id>: .

az ad app permission grant

Szerkesztés

Adjon az alkalmazásnak delegált API-engedélyeket.

A parancs futtatásakor szolgáltatásnévnek kell lennie az alkalmazáshoz. A megfelelő szolgáltatásnév létrehozásához használja a következőt az ad sp create --id {appId}: . Az alkalmazásengedélyek esetében használja a "hirdetésalkalmazás engedélyének rendszergazdai hozzájárulását".

az ad app permission grant --api,
                           --id,
                           --scope
                           [--consent-type {AllPrincipals, Principal}]
                           [--principal-id]

Példák

Natív alkalmazás engedélyezése egy 2 éves TTL-vel rendelkező meglévő API eléréséhez

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All

Kötelező paraméterek

--api, --resource-id

Annak az erőforrás-szolgáltatásnévnek az azonosítója, amelyhez a hozzáférés engedélyezve van. Ez azonosítja azt az API-t, amelynek a meghívására az ügyfél jogosult egy bejelentkezett felhasználó nevében.

--id, --client-id

Annak az alkalmazásnak az ügyfél-szolgáltatásnév azonosítója, amely jogosult egy bejelentkezett felhasználó nevében eljárni egy API elérésekor.

--scope

A delegált engedélyek jogcímértékeinek szóközzel elválasztott listája, amelyet az erőforrás-alkalmazás (az API) hozzáférési jogkivonataiban kell szerepeltetni. Például openid User.Read GroupMember.Read.All. Minden jogcímértéknek meg kell egyeznie az API által definiált egyik delegált engedély értékmezővel, amely az erőforrás-szolgáltatásnév oauth2PermissionScopes tulajdonságában szerepel.

Opcionális paraméterek

--consent-type

Azt jelzi, hogy engedélyezve van-e az ügyfélalkalmazás az összes felhasználó megszemélyesítéséhez, vagy csak egy adott felhasználónak. Az "AllPrincipals" az összes felhasználó megszemélyesítésének engedélyezését jelzi. A "Principal" egy adott felhasználó megszemélyesítésének engedélyezését jelzi. Az összes felhasználó nevében egy rendszergazda adhat hozzájárulást. A nem rendszergazdai felhasználók bizonyos esetekben felhatalmazást kaphatnak arra, hogy saját maguk nevében hozzájáruljanak bizonyos delegált engedélyekhez.

elfogadott értékek: AllPrincipals, Principal
alapértelmezett érték: AllPrincipals
--principal-id

Annak a felhasználónak az azonosítója, akinek nevében az ügyfél jogosult az erőforrás elérésére, ha a consentType értéke "Principal". Ha a consentType értéke "AllPrincipals", akkor ez az érték null. Kötelező, ha a consentType a "Principal" (Egyszerű) típus.

az ad app permission list

Szerkesztés

Az alkalmazás által kért API-engedélyek listázása.

az ad app permission list --id

Példák

Meglévő AAD-alkalmazás OAuth2-engedélyeinek listázása

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

Kötelező paraméterek

--id

A társított alkalmazás azonosító URI-ja, alkalmazásazonosítója vagy objektumazonosítója.

az ad app permission list-grants

Szerkesztés

Oauth2 engedélytámogatások listázása.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

Példák

a szolgáltatásnévnek megadott oauth2-engedélyek listázása

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

Opcionális paraméterek

--filter

OData-szűrő, például --filter "displayname eq "test" és servicePrincipalType eq "Application".

--id

Azonosító URI, alkalmazásazonosító vagy objektumazonosító.

--show-resource-name -r

Az erőforrás megjelenítendő nevének megjelenítése.

elfogadott értékek: false, true