1

在 Azure AD B2B 中,我为“用户”和“应用程序”创建了一个带有 appRole 的应用程序注册(资源)。

如果我将 servicePrincipal(客户端)分配给这个 appRole -> accessToken 包含 appRole。

servicePrincipal(client) <-> appRoleAssignment <-> servicePrincipal(resource)

这按预期工作

如果我将 serviceprincipal(客户端)分配给顶级安全组并将安全组分配给 appRole -> accessToken 不包含 appRole。

servicePrincipal(client) <-> security group <-> appRoleAssignment <-> servicePrincipal(resource)

这种间接适用于用户,我是否遗漏了为什么这不适用于 servicePrincipals?

4

2 回答 2

1

您的所有步骤都是正确的。如果要将应用角色分配给服务原则,则应逐个分配,如果将服务原则添加到分配有应用角色的组中,则不起作用。正如@juunas 所说,也许这就像一个错误。

于 2019-11-01T07:45:52.463 回答
1

我不认为你错过了什么。它确实对用户有用。

这是一个错误或一个功能:) 可能是不希望通过组分配应用程序权限。(这就是 Application 类型的 appRoles )

于 2019-11-01T06:13:21.020 回答