Azure active directory 如何使用具有门户体验的Graph API创建Azure AD应用程序

在新的Azure门户中，我可以创建新的应用程序注册。我发现这个动作由我想用Graph API实现的多个步骤组成

这是我想用Graph API模拟的门户体验：

在应用程序注册刀片中，我按Add+链接创建 注册测试应用程序A

我单击测试应用程序A，此应用程序注册的刀片服务器打开。 在此刀片服务器中，本地目录中托管应用程序的值 是名为测试应用程序a的链接

我点击这个链接，就会看到一个新的企业应用程序-预览 测试应用程序A的刀片服务器打开。在该刀片服务器上，已启用删除链接 可点击。在该刀片上管理链接 存在条件接收

我关闭所有刀片服务器并打开企业应用程序刀片服务器。那里 在“管理”下，单击所有应用程序

在“企业应用程序-所有应用程序”视图上，我看到了测试 应用程序A已列出

这就是我使用Graph API所做的：

我向{tenant}/applications？api version=1.6发送POST请求以创建测试应用程序a

我单击测试应用程序A，此应用程序注册的刀片服务器打开。 在此刀片服务器中，本地目录中托管应用程序的值 是登录应用程序以创建本地实例的文本

我向{tenant）/servicePrincipals？api version=1.6发送POST请求以创建服务主体。请求的JSON正文仅包含属性appId，其值为测试应用程序a的应用程序ID。这将本地目录中托管应用程序的值更改为名为测试应用程序a的链接

我点击这个链接，就会看到一个新的企业应用程序-预览 测试应用程序A的刀片服务器打开。在该刀片服务器上，删除链接被禁用 不可点击。在该刀片上的“管理”链接下 缺少条件接收

我关闭所有刀片服务器并打开企业应用程序刀片服务器 在“管理”下，单击所有应用程序

在企业应用程序-所有应用程序上查看应用程序测试 应用程序A未列出

---

我缺少什么？在步骤3中还必须发送哪些属性。还必须执行哪些操作？

在创建服务主体期间，必须指定以下内容：

或者你可以用它更新现有的服务主体。否则你所做的是正确的

因此，服务主体创建JSON将如下所示：

{
  "appId": "0e5836bf-ac8d-4b46-9cbb-5b3e8ebcdd37",
  "tags":[
    "WindowsAzureActiveDirectoryIntegratedApp"
  ]
}

或者，您可以在服务主体上使用以下工具进行修补：

{
  "tags":[
    "WindowsAzureActiveDirectoryIntegratedApp"
  ]
}

关于标签 添加此标记时，主体似乎在“企业应用程序”列表（实际上是服务主体列表）中可见。还启用了条件访问

此标记似乎存在于通过任何门户为应用程序创建的任何和所有服务主体上

还有一些没有标记的服务主体，例如Graph API的主体和Azure门户

重点似乎是这些服务在您的目录中具有一定的访问权限，但它们不应该在您的控制下。标记区分了应该对您可见的主体。即使没有标记，主体也可以可见，但只能通过您创建的应用程序，正如我们在这里看到的

有趣的是，像MicrosoftGraphAPI这样的主体有一个appId，但没有AppownerEntantID。publisherName也是空的

---

这主要是猜测，因为我实际上并不在微软工作，但底线似乎是，如果您希望AAD处理主体，就像您通过门户为应用程序创建主体一样，您还必须指定该标记。

您可以做的一件事是转到，找到您的服务主体和应用程序，并将它们与由创建的进行比较门户。酷工具。不需要Fiddler:-）您能简要解释一下当服务主体具有此标记时会发生的变化吗？@Shawn Tabrizi至少启用了企业应用程序刀片中来自应用程序注册刀片的删除链接和条件访问链接。此外，在企业应用程序刀片中，还启用了服务原则pal已列出。

{
  "tags":[
    "WindowsAzureActiveDirectoryIntegratedApp"
  ]
}