Compartir a través de


Conceder un appRoleAssignment a un grupo

Espacio de nombres: microsoft.graph

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Use esta API para asignar un rol de aplicación a un grupo de seguridad. Todos los miembros directos del grupo se considerarán asignados. Se admiten grupos de seguridad con pertenencias dinámicas. Para conceder una asignación de roles de aplicación a un grupo, necesitará tres identificadores:

  • principalId: id. del group al que va a asignar el rol de aplicación.
  • resourceId: el id. del recurso servicePrincipal que ha definido el rol de aplicación.
  • appRoleId: identificador del appRole (definido en la entidad de servicio del recurso) que se va a asignar al grupo.

Es posible que se necesiten licencias adicionales para utilizar un grupo para administrar el acceso a las aplicaciones.

Esta API está disponible en las siguientes implementaciones nacionales de nube.

Servicio global Gobierno de EE. UU. L4 Us Government L5 (DOD) China operada por 21Vianet

Permissions

Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.

Tipo de permiso Permisos con privilegios mínimos Permisos con privilegios más altos
Delegado (cuenta profesional o educativa) AppRoleAssignment.ReadWrite.All No disponible.
Delegado (cuenta personal de Microsoft) No admitida. No admitida.
Aplicación AppRoleAssignment.ReadWrite.All No disponible.

Importante

En escenarios delegados con cuentas profesionales o educativas, al usuario que ha iniciado sesión se le debe asignar un rol de Microsoft Entra compatible o un rol personalizado con un permiso de rol admitido. Se admiten los siguientes roles con privilegios mínimos para esta operación:

  • Cuentas de sincronización de directorios: para Microsoft Entra Connect y Microsoft Entra servicios de Cloud Sync
  • Escritor de directorios
  • Administrador de identidades híbridas
  • Administrador de gobernanza de identidades
  • Administrador de roles con privilegios
  • Administrador de usuarios
  • Administrador de la aplicación
  • Administrador de aplicaciones en la nube

Solicitud HTTP

POST /groups/{groupId}/appRoleAssignments

Nota:

Como práctica recomendada, le sugerimos crear asignaciones de roles de aplicación mediante la appRoleAssignedTorelación de la entidad de servicio del recurso, en lugar de la appRoleAssignmentsrelación del usuario, grupo o entidad de servicio asignados.

Encabezados de solicitud

Nombre Descripción
Authorization {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización.
Tipo de contenido application/json. Obligatorio.

Cuerpo de la solicitud

En el cuerpo de la solicitud, proporcione una representación JSON de un objeto appRoleAssignment.

En la tabla siguiente se enumeran las propiedades necesarias al crear appRoleAssignment. Especifique otras propiedades de escritura según sea necesario para appRoleAssignment.

Propiedad Tipo Descripción
appRoleId Guid El identificador (id.) para el rol de aplicación que está asignado al principal. Este rol de aplicación debe exponerse en la propiedad appRoles en la entidad de servicio de la aplicación del recurso (resourceId). Si la aplicación del recurso no ha declarado ningún rol de aplicación, se puede especificar un id. de rol de aplicación predeterminada de 00000000-0000-0000-0000-000000000000 para señalar que la entidad de seguridad esté asignada a la aplicación del recurso sin ningún rol de aplicación específico.
principalId Guid El identificador único (id.) del grupo al que se concede el rol de aplicación.
resourceId Guid El identificador único (id) para la entidad de servicio del recurso para el que se realizó la asignación.

Respuesta

Si se ejecuta correctamente, este método entrega un código de respuesta 201 Created y un objeto appRoleAssignment en el cuerpo de la respuesta.

Ejemplos

Solicitud

En el ejemplo siguiente se muestra la solicitud. En este ejemplo, tanto el identificador de la dirección URL como el valor de principalId serían el identificador del grupo asignado.

POST https://graph.microsoft.com/beta/groups/7679d9a4-2323-44cd-b5c2-673ec88d8b12/appRoleAssignments
Content-Type: application/json

{
  "principalId": "7679d9a4-2323-44cd-b5c2-673ec88d8b12",
  "resourceId": "076e8b57-bac8-49d7-9396-e3449b685055",
  "appRoleId": "00000000-0000-0000-0000-000000000000"
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.

HTTP/1.1 201 Created
Content-type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#groups('7679d9a4-2323-44cd-b5c2-673ec88d8b12')/appRoleAssignments/$entity",
  "id": "pNl5diMjzUS1wmc-yI2LEkGgWqFFrFdLhG2Ly2CysL4",
  "deletedDateTime": null,
  "appRoleId": "00000000-0000-0000-0000-000000000000",
  "creationTimestamp": "2021-02-19T17:55:08.3369542Z",
  "principalDisplayName": "Young techmakers",
  "principalId": "7679d9a4-2323-44cd-b5c2-673ec88d8b12",
  "principalType": "Group",
  "resourceDisplayName": "Yammer",
  "resourceId": "076e8b57-bac8-49d7-9396-e3449b685055"
}