az ad app permission

애플리케이션의 OAuth2 권한을 관리합니다.

명령

az ad app permission add

API 권한을 추가합니다.

az ad app permission admin-consent

관리자 동의를 통해 애플리케이션 & 위임된 권한을 부여합니다.

az ad app permission delete

API 권한을 제거합니다.

az ad app permission grant

앱에 API 위임 권한을 부여합니다.

az ad app permission list

애플리케이션에서 요청한 API 권한을 나열합니다.

az ad app permission list-grants

Oauth2 권한 부여를 나열합니다.

az ad app permission add

API 권한을 추가합니다.

활성화하려면 "az ad app permission grant"를 호출해야 합니다.

리소스 앱의 사용 가능한 권한을 얻으려면 를 az ad sp show --id <resource-appId> 실행합니다. 예를 들어 Graph API에 사용 가능한 권한을 얻으려면 다음을 수행합니다.

  • Azure Active Directory Graph:az ad sp show --id 00000002-0000-0000-c000-000000000000
  • Microsoft Graph: az ad sp show --id 00000003-0000-0000-c000-000000000000 속성 아래의 애플리케이션 권한은 appRoles Role --api-permissions에 해당합니다. 속성에서 위임된 권한은 oauth2Permissions Scope --api-permissions의 에 해당합니다.
az ad app permission add --api
                         --api-permissions
                         --id

예제

Azure Active Directory Graph 위임된 권한 User.Read(로그인 및 사용자 프로필 읽기)를 추가합니다.

az ad app permission add --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000 --api-permissions 311a71cc-e848-46a1-bdf8-97ff7156d8e6=Scope

Azure Active Directory Graph 애플리케이션 권한 Application.ReadWrite.All을 추가합니다(모든 애플리케이션 읽기 및 쓰기).

az ad app permission add --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000 --api-permissions 1cda74f2-2616-4834-b122-5cb1b07f8a59=Role

필수 매개 변수

--api

지정 RequiredResourceAccess.resourceAppId - 애플리케이션에 액세스해야 하는 리소스의 고유 식별자입니다. 대상 리소스 애플리케이션에 대해 선언된 appId와 같아야 합니다.

--api-permissions

지정 ResourceAccess.id - 리소스 애플리케이션이 노출하는 OAuth2Permission 또는 AppRole 인스턴스 중 하나의 고유 식별자입니다. 의 공백으로 구분된 <resource-access-id>=<type> 목록입니다.

--id

식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

관리자 동의를 통해 애플리케이션 & 위임된 권한을 부여합니다.

디렉터리 관리자로 로그인해야 합니다.

az ad app permission admin-consent --id

관리자 동의를 통해 애플리케이션 & 위임된 권한을 부여합니다. (자동 생성)

az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
--id

식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

az ad app permission delete

API 권한을 제거합니다.

az ad app permission delete --api
                            --id
                            [--api-permissions]

예제

Azure Active Directory Graph 권한을 제거합니다.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000

Azure Active Directory Graph 위임된 권한 User.Read(로그인 및 사용자 프로필 읽기)를 제거합니다.

az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000002-0000-0000-c000-000000000000 --api-permissions 311a71cc-e848-46a1-bdf8-97ff7156d8e6

필수 매개 변수

--api

지정 RequiredResourceAccess.resourceAppId - 애플리케이션에 액세스해야 하는 리소스의 고유 식별자입니다. 대상 리소스 애플리케이션에 대해 선언된 appId와 같아야 합니다.

--id

식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

선택적 매개 변수

--api-permissions

지정 ResourceAccess.id - 리소스 애플리케이션이 노출하는 OAuth2Permission 또는 AppRole 인스턴스 중 하나의 고유 식별자입니다. 의 공백으로 구분된 <resource-access-id> 목록입니다.

az ad app permission grant

앱에 API 위임 권한을 부여합니다.

이 명령을 실행할 때 앱에 대한 서비스 주체가 있어야 합니다. 해당 서비스 주체를 만들려면 를 az ad sp create --id {appId} 사용합니다. 애플리케이션 권한의 경우 "ad app permission admin-consent"를 사용하세요.

az ad app permission grant --api
                           --id
                           [--consent-type {AllPrincipals, Principal}]
                           [--expires]
                           [--principal-id]
                           [--scope]

예제

TTL이 2년인 기존 API에 액세스할 수 있는 권한이 있는 네이티브 애플리케이션 부여

az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --expires 2

필수 매개 변수

--api

지정 RequiredResourceAccess.resourceAppId - 애플리케이션에 액세스해야 하는 리소스의 고유 식별자입니다. 대상 리소스 애플리케이션에 대해 선언된 appId와 같아야 합니다.

--id

식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

선택적 매개 변수

--consent-type

관리자(조직을 대신하여) 또는 개인이 동의를 제공했는지 여부를 나타냅니다.

허용되는 값: AllPrincipals, Principal
기본값: AllPrincipals
--expires

사용 권한의 만료 날짜(년)입니다. 예: 1, 2 또는 "never".

기본값: 1
--principal-id

--consent-type이 "Principal"인 경우 이 인수는 동의를 부여하고 해당 사용자에게만 적용되는 사용자의 개체를 지정합니다.

--scope

리소스 애플리케이션이 OAuth 2.0 액세스 토큰에서 예상해야 하는 범위 클레임의 값(예: User.Read)을 지정합니다.

기본값: user_impersonation

az ad app permission list

애플리케이션에서 요청한 API 권한을 나열합니다.

az ad app permission list --id
                          [--query-examples]

예제

기존 AAD 앱에 대한 OAuth2 권한 나열

az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234

필수 매개 변수

--id

연결된 애플리케이션의 식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

선택적 매개 변수

--query-examples

JMESPath 문자열을 권장합니다. 쿼리 중 하나를 복사하여 큰따옴표 안에 --query 매개 변수를 붙여넣어 결과를 볼 수 있습니다. 이러한 키워드를 기반으로 제안을 제공할 수 있도록 하나 이상의 위치 키워드를 추가할 수 있습니다.

az ad app permission list-grants

Oauth2 권한 부여를 나열합니다.

az ad app permission list-grants [--filter]
                                 [--id]
                                 [--show-resource-name {false, true}]

예제

서비스 주체에 부여된 oauth2 권한 나열

az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456

선택적 매개 변수

--filter

OData 필터(예: --filter "displayname eq 'test' 및 servicePrincipalType eq 'Application'").

--id

식별자 URI, 애플리케이션 ID 또는 개체 ID입니다.

--show-resource-name -r

리소스의 표시 이름을 표시합니다.

허용되는 값: false, true