Search This Blog

mercredi 20 février 2019

Afficher les rôles claims présents dans un Token SAML pour les applications intégrées dans Azure Active Directory

Hello,

Nous allons aujourd'hui voir comment afficher les rôles claims avec Microsoft Graph; ces rôles  sont présents dans le token SAML qui est envoyé à l'application intégrée dans Azure AD lors d'une authentification.

Ces rôles, on les retrouve en interface graphique quand on souhaite ajouter un utilisateur ou un groupe au niveau de l'application intégrée :



Avant de commencer, vous devez avoir une application intégrée dans votre Azure AD comme ici dans mon cas l'application Linkedin Learing :



l’authentification SSO avec du SAML doit être configurée au niveau de cette application :



Une fois l'application intégrée et l'authentification SSO avec du SAML configurée, nous allons pouvoir afficher ces rôles claims avec Microsoft Graph.

Rendez vous sur l'URL suivante : https://developer.microsoft.com/graph/graph-explorer

Connectez vous avec votre compte AzureAD Globale Admin , ici je me connecte avec mon compte globale admin de mon tenant.

La première chose à faire est de configurer les permissions de lecture, et d’écriture des rôles ( nous verrons un 2 eme article sur l'ajout d’un nouveau rôle)

Une fois connecté sur Microsoft Graph, allez sur Modify permissions comme ceci :




Sélectionnez les permissions suivantes :

  • Directory.AccessAsUser.All
  • Directory.Read.All
  • Directory.ReadWrite.All 
et cliquez sur Modify Permissions afin de valider.


Il faudra accepter les permissions au niveau de l'utilisateur comme ceci :




Sélectionnez le mode Beta comme ceci, et  copiez ce lien suivant https://graph.microsoft.com/beta/servicePrincipals ; ce lien permet d’afficher les services principales de votre annuaire.

Cliquez ensuite sur Run Query afin de lancer la requête:


Voici le résultat :



 Allez ensuite au niveau de l'application et copier l'ID de l'obbet de l'application comme ceci :


Ensuite faire un CTRL+F et collez l'ID en question; ceci permettra de trouver votre application :


Une fois trouvé, il est possible de voir les rôles claims au niveau de l'object AppRoles , on voit bien nos rôles user et group:




Remarquez plus bas le rôle par défaut msiam_access, ce rôle est crée par défaut pour les applications qui font partie Marketplace d'application Azure:


et voila :); dans le prochain article nous verrons comment ajouter un rôle, avec Microsoft Graph avec l'opération "PATCH"

Cdt;
ST

< >