Single sign on 正在尝试将自定义角色添加到Azure AD应用程序_Single Sign On_Azure Active Directory_Saml 2.0_Claims Based Identity

Single sign on 正在尝试将自定义角色添加到Azure AD应用程序

single-sign-on azure-active-directory

Single sign on 正在尝试将自定义角色添加到Azure AD应用程序,single-sign-on,azure-active-directory,saml-2.0,claims-based-identity,Single Sign On,Azure Active Directory,Saml 2.0,Claims Based Identity,我正在使用Microsoft Graph Editor将应用程序角色添加到Azure AD中启用SAML SSO的应用程序中。我使用Get复制了现有的appRoles节，并对其进行了编辑，以包含两个新角色 https://graph.microsoft.com/beta/servicePrincipals/<objectID> } 我还使用GUID生成器生成GUID。如果它们不是唯一的，我会得到一个这样的错误。因此，我现在排除这种可能性。您需要更新应用程序，而不是服务主体。自定义

我正在使用Microsoft Graph Editor将应用程序角色添加到Azure AD中启用SAML SSO的应用程序中。我使用Get复制了现有的appRoles节，并对其进行了编辑，以包含两个新角色

https://graph.microsoft.com/beta/servicePrincipals/<objectID>

}

我还使用GUID生成器生成GUID。如果它们不是唯一的，我会得到一个这样的错误。因此，我现在排除这种可能性。

您需要更新应用程序，而不是服务主体。自定义权限是在应用程序对象上定义的，并且仅反映在服务主体中

因此，您需要对以下各项进行修补：

https://graph.microsoft.com/beta/applications/<objectID>

https://graph.microsoft.com/beta/applications/

其中objectID是应用程序对象的对象id（注意这与服务主体的对象id不同）

然后，您可能需要重新创建服务主体。

感谢@juunas提供的有用反馈

对我来说唯一有效的解决方案是直接使用新角色编辑企业应用程序清单。我使用GUID creator web应用程序来创建GUID，一切都按预期进行。

这非常有趣。这意味着整篇文章都是错误的——我一直在密切关注这一点。我今天将尝试您的建议并报告。我不是100%确定这是唯一可行的方法，但如果您在清单中添加权限，Azure Portal就是这么做的。您在原始修补程序中也有

“value”：null，顺便说一句，这是无效的。如果您编辑清单，它应该更新应用程序对象，然后从该应用程序中刷新企业应用程序（=服务主体）。如果您回答了这个问题，我会考虑它的答案。我放弃了图形编辑器，发现编辑清单非常容易。
https://graph.microsoft.com/beta/applications/<objectID>