az ad app permission
Bir uygulamanın OAuth2 izinlerini yönetin.
Komutlar
Name | Description | Tür | Durum |
---|---|---|---|
az ad app permission add |
API izni ekleyin. |
Temel | GA |
az ad app permission admin-consent |
Yönetici onayı aracılığıyla Uygulama ve Temsilci izinleri verin. |
Temel | GA |
az ad app permission delete |
API iznini kaldırma. |
Temel | GA |
az ad app permission grant |
Uygulamaya API Temsilcisi izinleri verin. |
Temel | GA |
az ad app permission list |
Uygulamanın istediği API izinlerini listeleyin. |
Temel | GA |
az ad app permission list-grants |
Oauth2 izin vermelerini listeleyin. |
Temel | GA |
az ad app permission add
API izni ekleyin.
Etkinleştirmek için "az ad app permission grant" çağırmak gerekir.
Kaynak uygulamasının kullanılabilir izinlerini almak için komutunu çalıştırın az ad sp show --id <resource-appId>
. Örneğin, Microsoft Graph API'sine yönelik kullanılabilir izinleri almak için komutunu çalıştırın az ad sp show --id 00000003-0000-0000-c000-000000000000
. özelliği altındaki appRoles
uygulama izinleri --api-permissions içinde öğesine karşılık gelir Role
. özelliği altındaki oauth2Permissions
temsilci izinleri --api-permissions içinde öğesine karşılık gelir Scope
.
Microsoft Graph izinleriyle ilgili ayrıntılar için bkz https://learn.microsoft.com/graph/permissions-reference. .
az ad app permission add --api
--api-permissions
--id
Örnekler
Microsoft Graph temsilci izni ekleme User.Read
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d=Scope
Microsoft Graph uygulama izni ekleme Application.ReadWrite.All
az ad app permission add --id {appId} --api 00000003-0000-0000-c000-000000000000 --api-permissions 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9=Role
Gerekli Parametreler
RequiredResourceAccess.resourceAppId - Uygulamanın erişim gerektirdiği kaynağın benzersiz tanımlayıcısı. Bu, hedef kaynak uygulamasında bildirilen appId değerine eşit olmalıdır.
Boşlukla ayrılmış {id}={type} listesi. {id} resourceAccess.id : Kaynak uygulamasının kullanıma açık olduğu oauth2PermissionScopes veya appRole örneklerinden birinin benzersiz tanımlayıcısı. {type} is resourceAccess.type - Id özelliğinin bir oauth2PermissionScopes'a mı yoksa appRole'a mı başvurdığını belirtir. Olası değerler şunlardır: Kapsam (OAuth 2.0 izin kapsamları için) veya Rol (uygulama rolleri için).
Tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.
Global Parametreler
Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.
Bu yardım iletisini göster ve çık.
Yalnızca hataları gösterir ve uyarıları gizler.
Çıkış biçimi.
JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .
Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_ID
varsayılan aboneliği yapılandırabilirsiniz.
Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.
az ad app permission admin-consent
Yönetici onayı aracılığıyla Uygulama ve Temsilci izinleri verin.
Genel yönetici olarak oturum açmalısınız.
az ad app permission admin-consent --id
Örnekler
Yönetici onayı aracılığıyla Uygulama ve Temsilci izinleri verin. (otomatik olarak oluşturulmuş)
az ad app permission admin-consent --id 00000000-0000-0000-0000-000000000000
Gerekli Parametreler
Tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.
Global Parametreler
Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.
Bu yardım iletisini göster ve çık.
Yalnızca hataları gösterir ve uyarıları gizler.
Çıkış biçimi.
JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .
Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_ID
varsayılan aboneliği yapılandırabilirsiniz.
Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.
az ad app permission delete
API iznini kaldırma.
az ad app permission delete --api
--id
[--api-permissions]
Örnekler
Microsoft Graph izinlerini kaldırın.
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000
Microsoft Graph temsilci iznini kaldırma User.Read
az ad app permission delete --id eeba0b46-78e5-4a1a-a1aa-cafe6c123456 --api 00000003-0000-0000-c000-000000000000 --api-permissions e1fe6dd8-ba31-4d61-89e7-88639da4683d
Gerekli Parametreler
RequiredResourceAccess.resourceAppId - Uygulamanın erişim gerektirdiği kaynağın benzersiz tanımlayıcısı. Bu, hedef kaynak uygulamasında bildirilen appId değerine eşit olmalıdır.
Tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.
İsteğe Bağlı Parametreler
Belirtin ResourceAccess.id
- Kaynak uygulamasının kullanıma sunması OAuth2Permission veya AppRole örneklerinden birinin benzersiz tanımlayıcısı. Boşlukla ayrılmış listesi <resource-access-id>
.
Global Parametreler
Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.
Bu yardım iletisini göster ve çık.
Yalnızca hataları gösterir ve uyarıları gizler.
Çıkış biçimi.
JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .
Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_ID
varsayılan aboneliği yapılandırabilirsiniz.
Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.
az ad app permission grant
Uygulamaya API Temsilcisi izinleri verin.
Bu komutu çalıştırırken uygulama için bir hizmet sorumlusu bulunmalıdır. Karşılık gelen bir hizmet sorumlusu oluşturmak için kullanın az ad sp create --id {appId}
.
Uygulama izinleri için lütfen "ad uygulama izni admin-consent" kullanın.
az ad app permission grant --api,
--id,
--scope
[--consent-type {AllPrincipals, Principal}]
[--principal-id]
Örnekler
2 yıllık TTL ile var olan bir API'ye erişim izinleri olan yerel bir uygulamaya verme
az ad app permission grant --id e042ec79-34cd-498f-9d9f-1234234 --api a0322f79-57df-498f-9d9f-12678 --scope Directory.Read.All
Gerekli Parametreler
Erişimin yetkilendirildiği kaynak hizmet sorumlusunun kimliği. Bu, istemcinin oturum açmış bir kullanıcı adına arama yapma yetkisine sahip olduğu API'yi tanımlar.
Api'ye erişirken oturum açmış bir kullanıcı adına işlem yapma yetkisine sahip uygulamanın istemci hizmet sorumlusunun kimliği.
Kaynak uygulamasının (API) erişim belirteçlerine dahil edilmesi gereken temsilci izinleri için talep değerlerinin boşlukla ayrılmış listesi. Örneğin, openid User.Read GroupMember.Read.All. Her talep değeri, kaynak hizmet sorumlusunun oauth2PermissionScopes özelliğinde listelenen API tarafından tanımlanan temsilci izinlerinden birinin değer alanıyla eşleşmelidir.
İsteğe Bağlı Parametreler
İstemci uygulamasının tüm kullanıcıların veya yalnızca belirli bir kullanıcının kimliğine bürünmek için yetkilendirme verilip verilmediğini gösterir. 'AllPrincipals' tüm kullanıcıların kimliğine bürünmek için yetkilendirmeyi gösterir. 'Principal' belirli bir kullanıcının kimliğine bürünmek için yetkilendirmeyi gösterir. Tüm kullanıcılar adına onay bir yönetici tarafından verilebilir. Yönetici olmayan kullanıcılar bazı durumlarda, bazı temsilci izinleri için kendileri adına onay verme yetkisine sahip olabilir.
consentType 'Principal' olduğunda, istemcinin kaynağa erişme yetkisine sahip olduğu kullanıcının kimliği. consentType 'AllPrincipals' ise bu değer null olur. consentType 'Principal' olduğunda gereklidir.
Global Parametreler
Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.
Bu yardım iletisini göster ve çık.
Yalnızca hataları gösterir ve uyarıları gizler.
Çıkış biçimi.
JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .
Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_ID
varsayılan aboneliği yapılandırabilirsiniz.
Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.
az ad app permission list
Uygulamanın istediği API izinlerini listeleyin.
az ad app permission list --id
Örnekler
Bir uygulamanın OAuth2 izinlerini listeleme.
az ad app permission list --id e042ec79-34cd-498f-9d9f-1234234
Gerekli Parametreler
İlişkili uygulamanın tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.
Global Parametreler
Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.
Bu yardım iletisini göster ve çık.
Yalnızca hataları gösterir ve uyarıları gizler.
Çıkış biçimi.
JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .
Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_ID
varsayılan aboneliği yapılandırabilirsiniz.
Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.
az ad app permission list-grants
Oauth2 izin vermelerini listeleyin.
az ad app permission list-grants [--filter]
[--id]
[--show-resource-name {false, true}]
Örnekler
hizmet sorumlusuna verilen oauth2 izinlerini listeleme
az ad app permission list-grants --id e042ec79-34cd-498f-9d9f-1234234123456
İsteğe Bağlı Parametreler
OData filtresi, örneğin --filter "displayname eq 'test' ve servicePrincipalType eq 'Application'".
Tanımlayıcı uri'si, uygulama kimliği veya nesne kimliği.
Kaynağın görünen adını gösterin.
Global Parametreler
Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.
Bu yardım iletisini göster ve çık.
Yalnızca hataları gösterir ve uyarıları gizler.
Çıkış biçimi.
JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz http://jmespath.org/ .
Aboneliğin adı veya kimliği. kullanarak az account set -s NAME_OR_ID
varsayılan aboneliği yapılandırabilirsiniz.
Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.