アプリケーションの登録とグループの作成の許可 - Azure AD

Question

私は、Azureアプリケーションの登録とグループを管理するために、Javaアプリケーションを前提としています。その目的のために私はAzureにアプリとそのサービス原則を登録しました。私は（https://github.com/Azure-Samples/aad-java-manage-users-groups-and-roles/）のサンプルの1つを使用しています。私は、他のアプリを登録したり、グループを作成したり、グループに割り当てたり、クライアントの秘密の操作を行うことができるように、私のアプリに適切な権限を与えることについては問題があります。私は403の不正な応答を受け取りました。これらの操作のAzure ADの権限は、どのようなものがありますか？ポータルでその要件を実装するために、どの手順とオプションを実行する必要がありますか？所有者の権利を与える

おかげ

UPDATE 1 は大きな動きです。それは私が探していた答えではありません。だから私は私の質問のための解決策としてそれをマークしていないが、あなたがそれをして喜んでいる場合、それは間違いなく動作するだろう。コードも機能します。 私の質問の一部は、可能性の最も低い権限でした。実験後、私は発見したアプリの権限で：

1. のWindows Azureのアクティブディレクトリ - >読む書くディレクトリデータ
2. のWindows Azureのアクティブディレクトリ - >すべてのアプリケーション
3. マイクロソフトGraph-書く読む>ライト読むディレクトリデータ
4. マイクロソフトGraph->読むにはすべてのドメイン
5. マイクロソフトGraph->読むにはすべてのグループ

が解決書く 問題。 Active Directoryのものは私がアプリケーションを作成してグループを作成することを許し、グラフのものはグループにアプリケーションを追加することを許可しました。 Graphの代わりに、User Access Adminとしてアプリを追加すると、アプリをグループ化することもできます。

更新2 私は別のアプリで同じプロセスを繰り返そうとしています。今回はUpdate 1で行ったのと同じ権限を付与しましたが、今度はグループに新しいアプリケーションを追加すると403で失敗します。私は本当に混乱しています...

Answer 1

サービスプリンシパルを作成し、サブスクリプションにOwnerロールを付与する必要があります。あなたはコードを確認することができます、新しい作成されたユーザーはあなたのサブスクリプションにCONTRIBUTOR与えられています。だから、あなたのSPにはOwnerロールが必要です。

// Assign role to AD user, it needs `Owner` role. 

    RoleAssignment roleAssignment1 = authenticated.roleAssignments() 
      .define(raName1) 
      .forUser(user) 
      .withBuiltInRole(BuiltInRole.READER) 
      .withSubscriptionScope("3b4d41fa-e91d-4bc7-bc11-13d221b3b77d") 
      .create(); 
    System.out.println("Created Role Assignment:"); 

Azure Portalで実行できます。

<your subscription>--><Access Control>--><Add>。これについて

詳しい情報は、このofficial documentを参照してください。

更新：

私は私の研究室でのテストは、あなたのsp Graph許可を与える必要はありません、あなただけのあなたのspサブスクリプションOwner役割を与える必要があります。これが私のテスト結果です。