Tra le molteplici funzionalità di Azure Active Directory vi è la possibilità di poter definire un'applicazione e poter poi sfruttarla per permettere ad un applicativo web, mobile o server di operare per conto di un utente o verso un altro applicativo, il tutto sfruttando protocolli standard come OpenID connect. Attraverso Role-based access control (RBAC) possiamo indicare quali utenti possono usare una certa applicazione, quali gruppi, ma possiamo anche definire i ruoli da un punto di vista applicativo.

Questa funzionalità è presente da molto tempo ma essa richiedeva la modifica del manifest, andando ad intervenire sulla sezione json appRoles. Di recente è stata introdotta un'interfaccia dedicata che ci permette di modificare i ruoli dell'app. La troviamo in una nuova voce App roles relativa all'applicazione stessa.

In questa schermata troviamo i ruoli che un utente, o un'app, può avere quando si autentica per essa. Possiamo infatti specificare chi è il target dei ruoli, come mostrato nella schermata seguente.

Definiti i ruoli è necessario andare nella sezione Enterprise applications, cercare l'applicazione stessa e nella sezione Users and groups assegnare i ruoli dell'applicazione agli utenti o ai ruoli.

Questi ruoli saranno poi presenti nel token per permettere alle logiche di validare l'utente che opera.