Estoy tratando de habilitar el servicio para dar servicio a la autenticación usando tokens AAD. Mi plan es validar el reclamo de "grupos" en el token para asegurarme de que la persona que llama sea miembro de un grupo de seguridad que creamos.

Por ejemplo, crearemos group1 para lectores y group2 para escritores. Luego, según la afirmación de "grupos", averiguaré el nivel de acceso correcto.

Utilizo la aplicación AAD para emitir los tokens (no un usuario), por lo que necesito que esa aplicación sea miembro del grupo de seguridad. Azure AD powershell no parece aceptar identificadores de aplicación como miembros del grupo. ¿Cómo resolver esto? ¿hay otros patrones recomendados cuando la persona que llama es otra aplicación de AAD?

Comando utilizado:https://docs.microsoft.com/en-us/powershell/module/azuread/Add-AzureADGroupMember?view=azureadps-2.0

Error:  
Add-AzureADGroupMember : Error occurred while executing AddGroupMember
Code: Request_BadRequest
Message: An invalid operation was included in the following modified references: 'members'.
RequestId: 0441a156-3a34-484b-83d7-a7863d14654e
DateTimeStamp: Mon, 11 Dec 2017 21:50:41 GMT
HttpStatusCode: BadRequest
HttpStatusDescription: Bad Request
HttpResponseStatus: Completed
At line:1 char:1
+ Add-AzureADGroupMember -ObjectId "9c2cdf89-b8d6-4fb9-9116-7749adec85c ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Add-AzureADGroupMember], ApiException
    + FullyQualifiedErrorId : Microsoft.Open.AzureAD16.Client.ApiException,Microsoft.Open.AzureAD16.PowerShell.AddGroupMember