응용 프로그램 등록 및 그룹 만들기 - Azure AD

Question

Azure 응용 프로그램 등록 및 그룹을 관리하기 위해 전제로 실행되는 Java 응용 프로그램이 있습니다. 그 목적을 위해 Azure에 앱과 서비스 원칙을 등록했습니다. 나는 (https://github.com/Azure-Samples/aad-java-manage-users-groups-and-roles/) 밑에 샘플 중 하나를 사용하고있다. 다른 앱을 등록하고, 그룹을 만들고, 그룹에 할당하고, 클라이언트 비밀 작업을 할 수 있도록 내 앱에 올바른 권한을 부여하는 데 문제가 있습니다. 403 승인되지 않은 응답을 받았습니다. 이러한 작업을 수행 할 수있는 Azure AD 권한은 무엇입니까? 포털에서 요구 사항을 구현하기 위해 수행해야 할 단계와 옵션은 무엇입니까? 소유자의 권리를주기

감사

UPDATE 1 큰 움직임이다. 그래서 그것은 제가 찾고 있던 대답이 아닙니다. 그게 내 질문에 대한 해결책으로 표시하지 않는 이유지만, 기꺼이 그렇게 할 수 있다면 분명히 효과가있을 것입니다. 코드도 작동합니다. 제 질문의 일부가 최소한의 사용 권한이었습니다. 실험 후 나는 발견 응용 프로그램 권한에 :

1. 윈도우 Azure 액티브 디렉토리 -> 읽기 쓰기 디렉토리 데이터
2. 윈도우 Azure 액티브 디렉토리 -> 모든 응용 프로그램
3. 마이크로 소프트 Graph- 읽기 쓰기> 읽기 쓰기 디렉토리 데이터
4. 마이크로 소프트 Graph-> 읽기 모든 도메인 쓰기
5. 마이크로 소프트 Graph-> 읽기 것은

가 해결 모든 그룹에게 쓰기 문제. Active Directory를 사용하면 응용 프로그램을 만들고 그룹을 만들 수 있었고 그래프로 그룹에 응용 프로그램을 추가 할 수있었습니다. 그래프 대신 앱을 사용자 액세스 관리자로 추가하면 그룹으로 묶을 수 있습니다.

업데이트 2 다른 응용 프로그램과 동일한 프로세스를 반복하려고합니다. 이번에는 업데이트 1에서와 동일한 권한을 부여했지만 이번에 그룹에 새 앱을 추가하면 403과 함께 실패합니다.이 아이디어가 실제로 어떻게 작동하는지 알고 싶습니다. 나는 정말로 혼란 스럽다. ...

Answer 1

서비스 교장을 만들어 구독에 Owner 역할을 부여해야한다. 코드를 확인하면 새로운 생성 된 사용자가 구독에 CONTRIBUTOR이 부여됩니다. 그래서, 당신의 SP는 Owner 역할을 필요로합니다.

// Assign role to AD user, it needs `Owner` role. 

    RoleAssignment roleAssignment1 = authenticated.roleAssignments() 
      .define(raName1) 
      .forUser(user) 
      .withBuiltInRole(BuiltInRole.READER) 
      .withSubscriptionScope("3b4d41fa-e91d-4bc7-bc11-13d221b3b77d") 
      .create(); 
    System.out.println("Created Role Assignment:"); 

Azure Portal에서 할 수 있습니다.

<your subscription>--><Access Control>--><Add>. 이것에 대해

자세한 내용은이 official document를 참조하십시오.

는 업데이트 :

내 실험실에서 테스트

, 당신이 당신의 SP에 Graph 권한을 부여하지 않아도, 당신은 단지 가입하여 SP에 Owner 역할을 부여해야합니다. 이것은 나의 시험 결과입니다.