自动将应用程序注册到Azure AD for SSO

Question

我的组织有大约2000个应用程序，需要使用Azure AD SSO进行配置，因此需要注册它们并允许访问Azure AD上的用户。

我知道如何手动执行此操作，但是有什么方法可以使整个过程自动化，以便我可以注册该应用程序并授予用户所需的访问权限？

谢谢Dheeraj Kumar

Answer 1

您可以使用Microsoft Graph API或Azure AD Graph API自动创建（尽管在可能的情况下，您最好使用MS Graph）。 在这种情况下，由于您基本上掌握了批处理方案，因此我认为PowerShell可能是一个不错的选择。

有一个用于管理Azure AD的PowerShell模块：

• https://docs.microsoft.com/zh-CN/powershell/azure/active-directory/install-adv2?view=azureadps-2.0
• https://www.powershellgallery.com/packages/AzureADPreview/2.0.0.127

首先，您使用

Connect-AzureAD

然后我们可以创建一个应用程序：

$app = New-AzureADApplication -DisplayName 'Created from PS' -IdentifierUris @('https://mytenant.onmicrosoft.com/PSTest1')

然后，我们需要创建服务主体，这通常是由门户网站完成的：

$sp = New-AzureADServicePrincipal -AppId $app.AppId -AppRoleAssignmentRequired $true

请注意AppRoleAssignmentRequired参数。 将其设置为true要求将用户分配给该应用，然后他们才能登录。

如果您不想要那样，那就别管它了。

现在我们可以分配用户。 您将需要一个用户的ObjectId来将他们分配给应用程序。 您可以通过多种方式使用Get-AzureADUser来获取要分配的用户。

但是可以这样分配：

New-AzureADUserAppRoleAssignment -Id '00000000-0000-0000-0000-000000000000' -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -ObjectId $user.ObjectId

如果您在应用中为用户指定了角色，则可以使用角色的ID而不是全零。 在门户中，全零将转换为“默认访问权限”。