Asignación de roles a usuarios mediante Azure CloudShell
Si un usuario de su organización necesita permiso para administrar recursos de Azure Active Directory (Azure AD), debe asignar al usuario un rol adecuado en Azure AD, en función de las acciones para las que el usuario necesita permisos.
Hay que diferenciar entre roles en directorio activo y roles en recursos. Cuando trabajamos en Directorio activo, se parece mucho a cuando trabajamos con grupos, podemos asignar miembros a un rol, mientras que en roles de recurso simplemente le asigno el rol para un recurso concreto. Azure, separa los comandos de AzureAD con los de recursos, como podemos ver en esta captura.
En color rojo encontramos los comandos para Azure AD y en color verde los de recurso. Los comandos que empiezan por “Az”, como Get-AzRoleAssignment son para asignar roles a nivel de recursos, mientras que los que empiezan por “AzureAD” como Get-AzureADDirectoryRole son para asignar roles de Directorio Activo.
Vamos a pedir ayuda sobre el comando con el cual podemos añadir usuarios a un rol de Azure Active Directory, esto nos es muy útil si queremos ver la sintaxis del comando. Como podemos apreciar, nos pide los Id de los objetos. La opción –ObjectId se refiere al rol y la opción -RefObjectId se refiere al Id del usuario.
Seguidamente, elegimos el rol de “Security Operator” a nivel de directorio activo. Para ello, he escogido a “Usuario Azure3” para asumir ese rol.
Guardamos la información de este usuario en una variable llamada $USUARIO
Ahora vamos a buscar el Id del rol de “Security Operator”, ya que es el que queremos asignar. Por defecto, Azure solamente te muestra aquellos roles que tienen algún miembro, sino no aparecen.
Para que nos aparezca el Id del rol, debemos añadir un usuario dentro del rol.
Guardamos en la variable $ROL la información del rol de “Security Operator”
Accedemos al ObjectId de ambas variables para ver que está todo correcto. Ejecutamos el comando donde añadimos el ObjectId de las dos variables.
Ya tenemos a ”Usuario Azure3” como miembro del rol ”Security Operator”