我在用户界面中创建了管理控制台,管理员可以在其中执行所有操作,例如创建、删除用户、将应用程序分配给用户以及从用户界面删除用户的应用程序访问权限
我厌倦了使用 Microsoft 图形 API 和 Azure AD 图形 API 从用户界面中删除对用户的应用程序访问 我使用了以下 azure AD graph api
https://graph.windows.net/tenantid/users/{userId}/appRoleAssignments/{appId}?api-version=1.6
但是当我在邮递员“EntitlementGrant 的资源标识符无效”中进行测试时,它显示错误。
我不知道该怎么做任何人都可以帮助我解决这些错误以及如何解决这些问题。
【问题讨论】:
标签: azure azure-active-directory azure-ad-b2c azure-ad-graph-api
您可能会收到此错误,因为您尝试使用应用程序的 AppId 删除应用程序访问权限。请确保使用 Azure 门户中的“AssignmentID”,它是特定角色分配的唯一 ID,并链接用户/组和服务主体对象。 转到 Azure Active Directory > 用户 > 选择特定用户 > 应用程序 > 选择任何应用程序以导航到“分配详细信息”边栏选项卡。
请看下面的截图-
如果通过 Graph API 查询应用程序角色分配,则此唯一 ID 也可用作“ObjectID”-
https://graph.windows.net/{TenantID}/users/{UserID}/appRoleAssignments
这是上述 API 调用的示例输出。
"odata.metadata": "https://graph.windows.net/sasharms.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AppRoleAssignment",
"value": [
{
"odata.type": "Microsoft.DirectoryServices.AppRoleAssignment",
"objectType": "AppRoleAssignment",
"objectId": "r7rDMrnDo0uCuwnosRwwzuziiF5B8s9FnsotYya5DMU",
"deletionTimestamp": null,
"creationTimestamp": "2018-05-10T14:10:49.8197813Z",
"id": "00000000-0000-0000-0000-000000000000",
"principalDisplayName": "SaurabhSharma",
"principalId": "32c3baaf-c3b9-4ba3-82bb-09e8b11c30ce",
"principalType": "User",
"resourceDisplayName": "WebAppOpenIdGraphApi",
"resourceId": "90658e39-2559-48fb-a27a-5e50cca94288"
}
此 ID 非常适合用于使用任何编程接口(如 PowerShell 和 Graph API)对应用程序执行各种操作。
【讨论】: