Sdílet prostřednictvím

Rozhraní API služby Privileged Identity Management

  • Článek

Privileged Identity Management (PIM), součást Microsoft Entra, zahrnuje tři zprostředkovatele:

  • PIM pro role Microsoft Entra
  • PIM pro prostředky Azure
  • PIM pro skupiny

Pomocí Microsoft Graphu můžete spravovat přiřazení v PIM pro role Microsoft Entra a PIM pro skupiny. Přiřazení v PIM pro prostředky Azure můžete spravovat pomocí rozhraní API Azure Resource Manageru. Tento článek popisuje důležité koncepty použití rozhraní API pro Privileged Identity Management.

Další podrobnosti o rozhraních API, která umožňují spravovat přiřazení, najdete v dokumentaci:

Historie rozhraní API PIM

V posledních několika letech došlo k několika iteracím rozhraní API PIM. Některé funkce se překrývají, ale nepředstavují lineární průběh verzí.

Iterace 1 – zastaralé

V rámci koncového /beta/privilegedRoles bodu měl Microsoft klasickou verzi rozhraní API PIM, která podporovala pouze role Microsoft Entra a která se už nepodporuje. Přístup k tomuto rozhraní API byl vyřazen v červnu 2021.

Iterace 2 – podporuje role Microsoft Entra a role prostředků Azure

V rámci koncového /beta/privilegedAccess bodu microsoft podporuje obojí /aadRoles i /azureResources. Tento koncový bod je stále dostupný ve vašem tenantovi, ale Microsoft doporučuje začít s tímto rozhraním API jakýkoli nový vývoj. Toto rozhraní API nebude nikdy vydáno pro obecnou dostupnost a nakonec bude zastaralé.

Iterace 3 (aktuální) – PIM pro role Microsoft Entra, skupiny v rozhraní Microsoft Graph API a pro prostředky Azure v rozhraní API Azure Resource Manageru

Jedná se o konečnou iteraci rozhraní API PIM. Patří mezi ně:

  • PIM pro role Microsoft Entra v rozhraní Microsoft Graph API – obecně dostupné.
  • PIM pro prostředky Azure v rozhraní API Azure Resource Manageru – Obecně dostupné.
  • PIM pro skupiny v rozhraní Microsoft Graph API – Obecně dostupné.
  • Upozornění PIM pro role Microsoft Entra v rozhraní Microsoft Graph API – Preview
  • Upozornění PIM pro prostředky Azure v rozhraní ARM API – Preview

Používání PIM pro role Microsoft Entra v rozhraní Microsoft Graph API a PIM pro prostředky Azure v rozhraní ARM API nabízí několik výhod, mezi které patří:

  • Sladění rozhraní API PIM pro běžné přiřazení rolí pro role Microsoft Entra i role prostředků Azure
  • Omezení nutnosti volat jiná rozhraní API PIM pro připojení prostředku, získání prostředku nebo získání definice role
  • Podpora oprávnění jen pro aplikace
  • Nové funkce, jako je konfigurace schvalování a e-mailových oznámení.

Přehled iterace rozhraní PIM API 3

Rozhraní API PIM napříč poskytovateli (rozhraní MICROSOFT Graph API i rozhraní API Azure Resource Manageru) se řídí stejnými principy.

Správa přiřazení

Pokud chcete vytvořit přiřazení (aktivní nebo způsobilé), prodloužení platnosti, prodloužení přiřazení aktualizace (aktivní nebo způsobilé), aktivujte způsobilé přiřazení, deaktivujte způsobilé přiřazení, použijte zdroje *AssignmentScheduleRequest a *EligibilityScheduleRequest:

Vytvoření objektu *AssignmentScheduleRequest nebo *EligibilityScheduleRequest může vést k vytvoření objektů *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance a *EligibilityScheduleInstance a *EligibilityScheduleInstance.

  • *Objekty AssignmentSchedule a *EligibilitySchedule zobrazují aktuální přiřazení a žádosti o vytvoření přiřazení v budoucnu.
  • *AssignmentScheduleInstance a *EligibilityScheduleInstance objekty zobrazují pouze aktuální přiřazení.

Po aktivaci oprávněného přiřazení (vytvoření*AssignmentScheduleRequest byl volán), *EligibilityScheduleInstance nadále existuje, nové *AssignmentSchedule a *AssignmentScheduleInstance objekty jsou vytvořeny pro tuto dobu aktivace.

Další informace o rozhraních API pro přiřazení a aktivaci najdete v tématu PIM API pro správu přiřazení rolí a eligibility.

Zásady PIM (nastavení rolí)

Ke správě zásad PIM použijte entity *roleManagementPolicy a *roleManagementPolicyAssignment :

Prostředek *roleManagementPolicy obsahuje pravidla, která představují zásady PIM: požadavky na schválení, maximální dobu trvání aktivace, nastavení oznámení atd.

Objekt *roleManagementPolicyAssignment připojí zásadu ke konkrétní roli.

Další informace o rozhraních API nastavení zásad najdete v tématu Nastavení rolí a PIM.

Oprávnění

PIM pro role Microsoft Entra

Informace o oprávněních Microsoft Graphu vyžadovaných pro role PiM pro role Microsoft Entra najdete na odpovídajících referenčních stránkách rozhraní REST API.

PIM pro prostředky Azure

Rozhraní API PIM pro role prostředků Azure se vyvíjejí nad rámec architektury Azure Resource Manageru. Potřebujete souhlas se správou prostředků Azure, ale nepotřebujete žádná oprávnění Microsoft Graphu. Musíte také zajistit, aby uživatel nebo instanční objekt volající rozhraní API měli v prostředku, který se pokoušíte spravovat, alespoň roli Vlastník nebo Správce uživatelských přístupů.

PIM pro skupiny

Informace o oprávněních Microsoft Graphu vyžadovaných pro PIM pro skupiny najdete na odpovídajících referenčních stránkách rozhraní REST API.

Vztah mezi entitami PIM a entitami přiřazení rolí

Jediným propojením mezi entitou PIM a entitou přiřazení role pro trvalé (aktivní) přiřazení pro role Microsoft Entra nebo role Azure je *AssignmentScheduleInstance. Mezi těmito dvěma entitami je mapování 1:1. Mapování znamená, že roleAssignment a *AssignmentScheduleInstance by zahrnovaly:

  • Trvalá (aktivní) přiřazení provedená mimo PIM
  • Trvalá (aktivní) přiřazení s plánem provedeným uvnitř PIM
  • Aktivovaná oprávněná přiřazení

Vlastnosti specifické pro PIM (například koncový čas) budou k dispozici pouze prostřednictvím objektu *AssignmentScheduleInstance .

Další kroky