Anwendungsberechtigung für das Registrieren von Apps und das Erstellen von Gruppen - Azure AD

Question

Ich habe eine Java-Anwendung, die vor Ort ausgeführt wird, um Azure App-Registrierungen und Gruppen zu verwalten. Zu diesem Zweck habe ich eine App und ihr Service-Prinzip in Azure registriert. Ich verwende eine der Proben unter (https://github.com/Azure-Samples/aad-java-manage-users-groups-and-roles/). Ich habe Probleme, meiner App die richtigen Berechtigungen zu erteilen, damit sie andere Apps registrieren, Gruppen erstellen, sie Gruppen zuweisen und geheime Clientvorgänge durchführen kann. Ich erhalte 403 nicht autorisierte Antworten. Welche Azure AD-Berechtigungen sind für diese Vorgänge am wenigsten möglich? Welche Schritte und Möglichkeiten soll ich ergreifen, um diese Anforderungen im Portal zu implementieren?

Dank

UPDATE 1 Besitzer Recht zu geben, ist ein großer Schritt. Das ist nicht die Antwort, nach der ich gesucht habe. Deshalb bezeichne ich es nicht als eine Lösung für meine Frage, aber das würde definitiv funktionieren, wenn Sie dazu bereit sind. Code funktioniert auch. Teil meiner Frage war mindestens mögliche Berechtigungen. Nach dem Experimentieren fand ich in App-Berechtigungen, dass:

1. Windows Azure Aktive Verzeichnis-> Lesen Schreiben Verzeichnisdaten
2. Windows Azure Aktive Verzeichnis-> Lesen Alle Anwendungen
3. Microsoft Graph-> Schreiben Lesen Schreiben Verzeichnisdaten
schreiben
4. Microsoft Graph-> lesen Sie alle Domains
5. Microsoft Graph-> lesen schreiben Alle Gruppen

gelöst die Problem. Active Directory erlaubt mir, App zu erstellen und Gruppe zu erstellen, Graphen erlaubten mir, App zur Gruppe hinzuzufügen. Anstelle von Graph, App als User Access Admin hinzufügen lassen Sie mich auch die App zu gruppieren.

UPDATE 2 Ich versuche, den gleichen Prozess mit einer anderen App zu wiederholen. Dieses Mal, obwohl ich die gleichen Berechtigungen wie in Update 1 gegeben habe, ist dieses Mal das Hinzufügen einer neuen App zur Gruppe mit 403 fehlgeschlagen. Irgendeine Idee, wie das wirklich funktioniert? Ich bin wirklich verwirrt ...

Answer 1

Sie müssen einen Service-Principal erstellen und geben Sie Owner Rolle zu Ihrem Abonnement. Sie können den Code überprüfen, der neu erstellte Benutzer wird Ihrem Abonnement CONTRIBUTOR gegeben. Also, Ihre sp brauchen Owner Rolle.

// Assign role to AD user, it needs `Owner` role. 

    RoleAssignment roleAssignment1 = authenticated.roleAssignments() 
      .define(raName1) 
      .forUser(user) 
      .withBuiltInRole(BuiltInRole.READER) 
      .withSubscriptionScope("3b4d41fa-e91d-4bc7-bc11-13d221b3b77d") 
      .create(); 
    System.out.println("Created Role Assignment:"); 

Sie können es auf Azure Portal tun.

<your subscription>--><Access Control>--><Add>.

Weitere Informationen hierzu finden Sie in diesem official document.

Update:

ich in meinem Labor zu testen, brauchen Sie nicht Ihre sp Graph Erlaubnis zu geben, brauchen Sie nur Ihre sp Ihr ​​Abonnement Owner Rolle geben. Das ist mein Testergebnis.