![](/img/trans.png)
[英]Best method to Automate Identity Provider (IdP) initiated SSO in Azure AD
[英]Automate registering application to Azure AD for SSO
我的组织有大约2000个应用程序,需要使用Azure AD SSO进行配置,因此需要注册它们并允许访问Azure AD上的用户。
我知道如何手动执行此操作,但是有什么方法可以使整个过程自动化,以便我可以注册该应用程序并授予用户所需的访问权限?
谢谢Dheeraj Kumar
您可以使用Microsoft Graph API或Azure AD Graph API自动创建(尽管在可能的情况下,您最好使用MS Graph)。 在这种情况下,由于您基本上掌握了批处理方案,因此我认为PowerShell可能是一个不错的选择。
有一个用于管理Azure AD的PowerShell模块:
首先,您使用
Connect-AzureAD
然后我们可以创建一个应用程序:
$app = New-AzureADApplication -DisplayName 'Created from PS' -IdentifierUris @('https://mytenant.onmicrosoft.com/PSTest1')
然后,我们需要创建服务主体,这通常是由门户网站完成的:
$sp = New-AzureADServicePrincipal -AppId $app.AppId -AppRoleAssignmentRequired $true
请注意AppRoleAssignmentRequired
参数。 将其设置为true要求将用户分配给该应用,然后他们才能登录。
如果您不想要那样,那就别管它了。
现在我们可以分配用户。 您将需要一个用户的ObjectId来将他们分配给应用程序。 您可以通过多种方式使用Get-AzureADUser
来获取要分配的用户。
但是可以这样分配:
New-AzureADUserAppRoleAssignment -Id '00000000-0000-0000-0000-000000000000' -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -ObjectId $user.ObjectId
如果您在应用中为用户指定了角色,则可以使用角色的ID而不是全零。 在门户中,全零将转换为“默认访问权限”。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.