将自定义属性添加到在 PowerShell 中创建的 Azure AD Graph 应用程序

Question

我正在开发一个与 Azure AD Graph 对话的 Web API，以获取和更新用户和组信息。所以我根据https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-devquickstarts-graph-dotnet 上的文章，使用Windows PowerShell 实现了一个服务应用程序/服务主体。

我现在想向我的应用程序添加一些自定义属性，以便组可以有额外的字段。但是，当我通过其特定的应用程序 ID 引用它时，我只能在 Azure 门户中看到它，而且我无法使用https://graph.windows.net/{mytenant}.onmicrosoft.com/applications 或 / 的 AD Graph RESTful API 访问它{mytenant}.onmicrosoft.com/applications/{objectId}/extensionProperties，因此无法使用相应的 POST 端点添加任何新的自定义属性。

将我的服务应用程序与租户中的其他企业应用程序进行比较，它也没有在企业应用程序刀片中显示发布者。

请任何人告知这是否应该工作，如果可以，我在配置方面缺少什么？

谢谢

西蒙

Answer 1

您在此处看到的问题是由于您遵循的教程让您使用 AAD PowerShell 创建了一个服务主体，但是您正在寻找的属性位于应用程序对象上。

您可以阅读更多关于差异的信息here。

应用对象

Azure AD 应用程序由其唯一的应用程序定义 对象，它驻留在应用程序所在的 Azure AD 租户中 注册，称为应用程序的“家”租户。应用程序 对象为应用程序提供与身份相关的信息，并且 是其对应服务主体的模板 派生对象以供在运行时使用。

将应用程序对象视为您的全局表示 应用程序（供所有租户使用），服务主体为 本地代表（用于特定租户）。 Azure 广告 图应用实体定义应用对象的模式。 因此，应用程序对象与 软件应用程序，以及与其对应的 n 的 1:n 关系 服务主体对象。

服务主体对象

服务主体对象定义策略和权限 应用程序，为安全主体提供基础来表示 在运行时访问资源时的应用程序。 Azure 广告 Graph ServicePrincipal 实体定义服务的架构 主要对象。

在 Azure AD 租户允许应用程序访问之前 它保护的资源，必须在 给定的租户。服务主体为 Azure AD 提供了基础 保护应用程序对用户拥有的资源的访问 租户。单租户应用程序将只有一项服务 委托人（在其家庭租户中）。多租户 Web 应用程序将 在每个租户中也有一个服务主体，其中管理员或 该租户的用户已同意，允许其访问 他们的资源。同意后，服务主体对象将 为将来的授权请求咨询。

我的建议是先使用 Graph API/Portal UX/PowerShell 创建一个应用程序对象，然后按照教程更新您创建的应用程序的服务主体。

如果这有帮助，请告诉我！