Tipo de recurso servicePrincipal
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta
de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Representa una instancia de una aplicación en un directorio. Se hereda de directoryObject.
Este recurso es compatible con el uso de una consulta delta para realizar un seguimiento de las adiciones incrementales, las eliminaciones y las actualizaciones proporcionando una función delta. Este recurso es de tipo abierto y permite que pasen otras propiedades.
Methods
Método | Tipo de valor devuelto | Descripción |
---|---|---|
List | Colección servicePrincipal | Recupera una lista de objetos servicePrincipal. |
Crear | servicePrincipal | Crea un nuevo objeto servicePrincipal. |
Get | servicePrincipal | Lee las propiedades y las relaciones de un objeto de serviceprincipal. |
Actualizar | Ninguno | Actualiza el objeto servicePrincipal. |
Upsert | servicePrincipal | Cree un nuevo servicePrincipal si no existe o actualice las propiedades de un servicePrincipal existente. |
Delete | Ninguno | Elimina el objeto servicePrincipal. |
Obtener delta | colección servicePrincipal | Obtiene los cambios incrementales de las entidades de servicio. |
Enumerar objetos creados | Colección directoryObject | Obtiene una colección de objetos createdObject. |
Enumerar objetos en propiedad | Colección directoryObject | Obtiene una colección de objetos ownedObject. |
Elementos eliminados | ||
Lista | Colección directoryObject | Recuperar una lista de objetos servicePrincipal eliminados recientemente. |
Get | directoryObject | Recuperar las propiedades de un objeto servicePrincipal eliminado recientemente. |
Restaurar | directoryObject | Restaurar un objeto servicePrincipal eliminado recientemente. |
Eliminar permanentemente | Ninguno | Eliminar permanentemente un objeto servicePrincipal. |
Asignaciones de roles de aplicación | ||
Enumerar appRoleAssignments | Colección appRoleAssignment | Obtenga los roles de aplicación a los que está asignada esta entidad de servicio. |
Agregar appRoleAssignment | appRoleAssignment | Asigna un rol de aplicación a esta entidad de servicio. |
Eliminar appRoleAssignment | Ninguna | Quita una asignación de roles de aplicación de esta entidad de servicio. |
Enumerar appRoleAssignedTo | Colección appRoleAssignment | Obtiene los roles de aplicación asignados de usuarios, grupos y entidades de servicio para esta entidad de servicio. |
Agregar appRoleAssignedTo | appRoleAssignment | Asigna un rol de aplicación para esta entidad de servicio a un usuario, grupo o entidad de servicio. |
Quitar appRoleAssignedTo | Ninguna | Quita una asignación de roles de aplicación para esta entidad de servicio de un usuario, un grupo o una entidad de servicio. |
Certificados y secretos | ||
Add password | passwordCredential | Agregar una contraseña segura o un secreto a servicePrincipal. |
Remove password | passwordCredential | Quitar una contraseña o un secreto de servicePrincipal. |
Agregar clave | keyCredential | Agrega una credencial de clave a un servicePrincipal. |
Quitar clave | Ninguna | Quita una credencial de clave de una servicePrincipal. |
Agregar certificado de firma de token | selfSignedCertificate | Agregue un certificado autofirmado a la entidad de servicio. Use principalmente para configurar aplicaciones de SSO basadas en SAML desde la galería de Microsoft Entra. |
Clasificaciones de permisos delegados | ||
Lista | Colección delegatedPermissionClassification | Obtener las clasificaciones de permisos para los permisos delegados expuestos por esta entidad de servicio. |
Add | delegatedPermissionClassification | Agregar una clasificación de permisos para un permiso delegado expuesto por esta entidad de servicio. |
Remove | Ninguno | Quitar una clasificación de permisos para un permiso delegado expuesto por esta entidad de servicio. |
Concesiones de permisos delegados (OAuth2) | ||
Lista | Colección oAuth2PermissionGrant | Obtiene las concesiones de permisos delegados que autorizan a esta entidad de servicio a acceder a una API en nombre de un usuario que ha iniciado sesión. |
Membership | ||
Enumerar memberOf | Colección directoryObject | Obtiene los grupos de los que esta entidad de servicio es miembro directo desde la propiedad de navegación memberOf. |
Enumeración de miembros transitivos de | Colección directoryObject | Enumera los grupos a los que pertenece esta entidad de servicio. Esta operación es transitiva e incluye los grupos de los que esta entidad de servicio es un miembro anidado. |
Comprobar grupos de miembro | Colección de cadenas | Comprueba la pertenencia en una lista especificada de grupos. |
Comprobación de objetos miembro | Colección de cadenas | Comprobar la pertenencia en una lista específica de objetos de unidad administrativa, roles de directorio o grupos. |
Obtener grupos de miembro | Colección de cadenas | Obtener la lista de los grupos a los que pertenece esta entidad de servicio. |
Obtener objetos de miembro | Colección string | Obtener la lista de grupos, unidades administrativas y roles de directorio de los que esta entidad de servicio es miembro. |
Propietarios | ||
Lista | Colección directoryObject | Obtenga los propietarios de una entidad de servicio. |
Add | directoryObject | Asigne un propietario a una entidad de servicio. Los propietarios de entidades de servicio pueden ser usuarios u otras entidades de servicio. |
Remove | Ninguno | Quite un propietario de una entidad de servicio. Como procedimiento recomendado, las entidades de servicio deben tener al menos dos propietarios. |
Credenciales de inicio de sesión único basadas en contraseñas | ||
Crear | passwordSingleSignOnCredentialSet | Cree un conjunto de credenciales para el usuario o el grupo que se especifica en el cuerpo. |
Get | passwordSingleSignOnCredentialSet | Obtenga un conjunto de credenciales para el usuario o el grupo que se especifica en el cuerpo. |
Actualizar | Ninguno | Actualice un conjunto de credenciales para el usuario o el grupo que se especifica en el cuerpo. |
Delete | Ninguno | Elimine un conjunto de credenciales para el usuario o el grupo que se especifica en el cuerpo. |
Propiedades
Importante
El uso específico de $filter
y el parámetro de consulta $search
solo se admite cuando se usa el encabezado ConsistencyLevel establecido en eventual
y $count
. Para obtener más información, vea Funcionalidades avanzadas de consulta en objetos de directorio.
Propiedad | Tipo | Descripción |
---|---|---|
accountEnabled | Boolean |
true si la entidad de servicio está habilitada; en caso contrario, false . Si se establece false en , ningún usuario podrá iniciar sesión en esta aplicación, incluso si se les asigna. Admite $filter (eq , ne , not y in ). |
addIns | Colección addIn | Permite definir el comportamiento personalizado que un servicio que consume puede usar para llamar a una aplicación en contextos específicos. Por ejemplo, las aplicaciones que pueden representar secuencias de archivo pueden establecer la propiedad addIns para su funcionalidad "FileHandler". Esto permite que servicios como Microsoft 365 llamen a la aplicación en el contexto de un documento en el que el usuario está trabajando. |
alternativeNames | Colección de cadenas | Se usa para recuperar entidades de servicio por suscripción, identificar el grupo de recursos y los identificadores de recursos completos para las identidades administradas. Admite $filter (eq , not , ge , le y startsWith ). |
appDescription | Cadena | La descripción expuesta por la aplicación asociada. |
appDisplayName | Cadena | El nombre para mostrar expuesto por la aplicación asociada. La longitud máxima es de 256 caracteres. |
appId | Cadena | El identificador único para la aplicación asociada (su propiedad appId). Tecla alternativa. Admite $filter (eq , ne , not , in y startsWith ). |
applicationTemplateId | Cadena | Identificador único de applicationTemplate. Admite $filter (eq , not y ne ). Solo lectura.
null si la aplicación no se creó a partir de una plantilla de aplicación. |
appOwnerOrganizationId | Guid | Contiene el identificador de inquilino donde está registrada la aplicación. Esto solo se aplica a las entidades de servicio respaldadas por aplicaciones. Admite $filter (eq , ne , NOT , ge y le ). |
appRoleAssignmentRequired | Boolean | Especifica si los usuarios u otras entidades de servicio necesitan que se les otorgue una asignación de roles de aplicación para esta entidad de servicio para que los usuarios puedan iniciar sesión o las aplicaciones puedan obtener tokens. El valor predeterminado es false . No admite valores NULL. Admite $filter (eq , ne y NOT ). |
appRoles | Colección appRole | Los roles expuestos por la aplicación, que representa esta entidad de servicio. Para obtener más información, vea la definición de la propiedad appRoles en la entidad de aplicación . No admite valores NULL. |
customSecurityAttributes | customSecurityAttributeValue | Un tipo complejo abierto que contiene el valor de un atributo de seguridad personalizado que se asigna a un objeto de directorio. Admite un valor NULL. Solo se devuelve en $select . Admite $filter (eq , ne , not y startsWith ). El valor del filtro distingue mayúsculas de minúsculas. |
deletedDateTime | DateTimeOffset | La fecha y la hora en que se eliminó la entidad de servicio. Solo lectura. |
description | String | Campo de texto libre para proporcionar una descripción interna orientada al usuario final de la entidad de servicio. Los portales de usuario final como MyApps muestran la descripción de la aplicación en este campo. El tamaño máximo permitido es de 1024 caracteres. Admite $filter (eq , ne , not , ge , le , startsWith ) y $search . |
disabledByMicrosoftStatus | Cadena | Especifica si Microsoft ha deshabilitado la aplicación registrada. Los valores posibles son: null (valor predeterminado), NotDisabled y DisabledDueToViolationOfServicesAgreement (por motivos pueden incluir actividad sospechosa, abusivo o malintencionada o una infracción del Contrato de servicios de Microsoft). Admite $filter (eq , ne y not ). |
displayName | Cadena | El nombre para mostrar de la entidad de servicio. Admite $filter (eq , ne , not , ge , le , in , startsWith y eq en valores null ), $search y $orderby . |
errorUrl | String | Obsoleto. No usar. |
homepage | String | La página de inicio o la página de aterrizaje de la aplicación. |
id | Cadena | Identificador único para la entidad de servicio. Heredado de directoryObject. Clave. No admite valores NULL. Solo lectura. Admite $filter (eq , ne , not , in ). |
info | informationalUrl | Información de perfil básica de la aplicación adquirida, como las direcciones URL de marketing, soporte técnico, condiciones del servicio y declaración de privacidad de la aplicación. Las condiciones del servicio y la declaración de privacidad se exponen a los usuarios mediante la experiencia de consentimiento del usuario. Para obtener más información, consulta Cómo: Agregar términos de servicio y declaración de privacidad para aplicaciones de Microsoft Entra registradas. Admite $filter (eq , ne , not , ge , le y eq en valores null ). |
keyCredentials | Colección keyCredential | El conjunto de credenciales clave asociadas con la entidad de servicio. No admite valores NULL. Admite $filter (eq , not , ge , le ). |
loginUrl | Cadena | Especifica la dirección URL donde el proveedor de servicios redirige al usuario a Microsoft Entra ID para autenticarse. Microsoft Entra ID usa la dirección URL para iniciar la aplicación desde Microsoft 365 o la Microsoft Entra Aplicaciones. Cuando está en blanco, Microsoft Entra ID realiza el inicio de sesión iniciado por IdP para las aplicaciones configuradas con el inicio de sesión único basado en SAML. El usuario inicia la aplicación desde Microsoft 365, la Microsoft Entra Aplicaciones o la dirección URL de inicio de sesión único de Microsoft Entra. |
logoutUrl | Cadena | Especifica la dirección URL que usa el servicio de autorización de Microsoft para cerrar la sesión de un usuario mediante los protocolos de cierre de sesión de OpenId Connect,canal de back-channel o SAML. |
notas | Cadena | Campo de texto libre para capturar información sobre la entidad de servicio, que suele usarse con fines operativos. El tamaño máximo permitido es de 1024 caracteres. |
notificationEmailAddresses | Colección de cadenas | Especifica la lista de direcciones de correo electrónico donde Microsoft Entra ID envía una notificación cuando el certificado activo está cerca de la fecha de expiración. Esto solo es para los certificados que se usan para firmar el token SAML emitido para Microsoft Entra aplicaciones de la Galería. |
passwordCredentials | Colección passwordCredential | El conjunto de credenciales de contraseña asociadas con la entidad de servicio. No admite valores NULL. |
passwordSingleSignOnSettings | passwordSingleSignOnSettings | La colección de ajustes que se relaciona con la contraseña del inicio de sesión único. Use $select=passwordSingleSignOnSettings para leer la propiedad. Solo lectura para applicationTemplates, excepto para applicationTemplates personalizados. |
preferredSingleSignOnMode | cadena | Especifica el modo de inicio de sesión único configurado para esta aplicación. Microsoft Entra ID usa el modo de inicio de sesión único preferido para iniciar la aplicación desde Microsoft 365 o el Microsoft Entra Aplicaciones. Los valores admitidos son: password , saml , notSupported y oidc .
Nota: Este campo puede ser null para aplicaciones SAML anteriores y para aplicaciones OIDC en las que no se establece automáticamente. |
permissionGrantPreApprovalPolicies | colección permissionGrantPreApprovalPolicy | Lista de directivas de preaplicación que se han asignado a la entidad de servicio. |
preferredTokenSigningKeyEndDateTime | DateTimeOffset | Especifica la fecha de caducidad de la keyCredential usada para la firma de tokens, marcada por preferredTokenSigningKeyThumbprint. Actualmente no se admite la actualización de este atributo. Para obtener más información, consulte Diferencias de propiedades de ServicePrincipal. |
preferredTokenSigningKeyThumbprint | Cadena | Esta propiedad se puede usar en aplicaciones SAML (aplicaciones que han preferidoSingleSignOnMode establecida saml en ) para controlar qué certificado se usa para firmar las respuestas saml. En el caso de las aplicaciones que no son SAML, no escriba ni dependa de esta propiedad. |
publishedPermissionScopes | Colección permissionScope | Los permisos delegados expuestos por la aplicación. Para obtener más información, vea la propiedad oauth2PermissionScopes en la propiedad api de la entidad de aplicación. No admite valores NULL. Nota: Esta propiedad se denomina oauth2PermissionScopes en v1.0. |
publisherName | Cadena | Nombre del inquilino de Microsoft Entra que publicó la aplicación. |
replyUrls | Colección de cadenas | Las direcciones URL a las que se envía los tokens de usuario para iniciar sesión con la aplicación asociada o el URI de redireccionamiento al que se envían los códigos de autorización de OAuth 2.0 y los tokens de acceso de la aplicación asociada. No admite valores NULL. |
samlMetadataUrl | Cadena | La dirección URL donde el servicio muestra los metadatos de SAML para la federación. |
samlSingleSignOnSettings | samlSingleSignOnSettings | La colección de configuraciones relacionadas con el inicio de sesión único de SAML. |
servicePrincipalNames | Colección de cadenas | Contiene la lista de identifiersUris, copiada desde la aplicación asociada. Se pueden agregar más valores a las aplicaciones híbridas. Estos valores se pueden usar para identificar los permisos expuestos por esta aplicación dentro de Microsoft Entra ID. Por ejemplo,
El operador any es necesario para las expresiones de filtro en las propiedades de varios valores. No admite valores NULL. Admite $filter (eq , not , ge , le y startsWith ). |
servicePrincipalType | Cadena | Identifica si la entidad de servicio representa una aplicación o una identidad administrada. Esto lo establece Microsoft Entra ID internamente. Para una entidad de servicio que representa una aplicación, se establece como Application. Para una entidad de servicio que representa una identidad administrada , se establece como ManagedIdentity. El tipo SocialIdp es para uso interno. |
signInAudience | Cadena | Especifica las cuentas de Microsoft compatibles con la aplicación actual. Solo lectura. Los valores admitidos son los siguientes:
|
tags | Colección de cadenas | Cadenas personalizadas que pueden usarse para clasificar por categorías e identificar la entidad de servicio. No admite valores NULL. El valor es la unión de cadenas establecida aquí y en la propiedad tags de la entidad de aplicación asociada. Admite $filter (eq , not , ge , le y startsWith ). |
tokenEncryptionKeyId | Cadena | Especifica el valor keyId de una clave pública de la colección keyCredentials. Cuando se configura, Microsoft Entra ID emite tokens para esta aplicación cifrada mediante la clave especificada por esta propiedad. El código de aplicación que recibe el token cifrado debe usar la clave privada coincidente para descifrar el token a fin de poder usarlo para el usuario que ha iniciado sesión. |
verifiedPublisher | verifiedPublisher | Especifica el publicador comprobado de la aplicación vinculada a esta entidad de servicio. |
Relaciones
Importante
El uso específico del $filter
parámetro de consulta solo se admite cuando se usa el encabezado ConsistencyLevel establecido en eventual
y $count
. Para obtener más información, vea Funcionalidades avanzadas de consulta en objetos de directorio.
Relación | Tipo | Descripción |
---|---|---|
appManagementPolicies | Colección appManagementPolicy | AppManagementPolicy aplicado a esta entidad de servicio. |
appRoleAssignedTo | appRoleAssignment | Asignaciones de roles de aplicación para esta aplicación o servicio, concedidos a usuarios, grupos y otras entidad de servicio. Admite $expand . |
appRoleAssignments | Colección appRoleAssignment | Asignación de roles de aplicación para otra aplicación o servicio, concedido a esta entidad de servicio. Admite $expand . |
claimsMappingPolicies | Colección claimsMappingPolicy | Las colecciones claimsMappingPolicies asignadas a esta entidad de servicio. Admite $expand . |
claimsPolicy | customClaimsPolicy | Directiva de notificaciones que permite a los administradores de aplicaciones personalizar las notificaciones que se emitirán en los tokens afectados por esta directiva. |
createdObjects | Colección directoryObject | Objetos de directorio creados mediante esta entidad de servicio. Solo lectura. Admite valores NULL. |
delegatedPermissionClassifications | Colección de delegatedPermissionClassification | Las clasificaciones de permisos para los permisos delegados expuestos por la aplicación que representa esta entidad de servicio. Admite $expand . |
endpoints | Colección endpoint | Los puntos de conexión disponibles para la detección. Los servicios como SharePoint rellenan esta propiedad con los puntos de conexión de SharePoint específicos de un espacio empresarial que otras aplicaciones pueden detectar y usar en sus experiencias. |
homeRealmDiscoveryPolicies | Colección homeRealmDiscoveryPolicy | La colección homeRealmDiscoveryPolicies asignada a esta entidad de servicio. Admite $expand . |
memberOf | Colección directoryObject | Roles a los que pertenece esta entidad de servicio. Métodos HTTP: GET de solo lectura. Admite un valor NULL. Admite $expand . |
oauth2PermissionGrants | Colección oAuth2PermissionGrant | El permiso delegado concede acceso a esta entidad de servicio para que pueda acceder a una API en nombre de un usuario que ha iniciado sesión. Solo lectura. Admite valores NULL. |
ownedObjects | Colección directoryObject | Objetos de directorio que pertenecen a esta entidad de servicio. Solo lectura. Admite valores NULL. Admite $expand y $filter (/$count eq 0 , /$count ne 0 , /$count eq 1 , /$count ne 1 ). |
owners | Colección directoryObject | Objetos de directorio que son propietarios de este servicePrincipal. Los propietarios son un conjunto de usuarios no administradores o servicePrincipals a los que se les permite modificar este objeto. Solo lectura. Admite valores NULL. Admite $expand y $filter (/$count eq 0 , /$count ne 0 , /$count eq 1 , /$count ne 1 ). |
remoteDesktopSecurityConfiguration | remoteDesktopSecurityConfiguration | Objeto remoteDesktopSecurityConfiguration aplicado a esta entidad de servicio. Admite $filter (eq ) para la propiedad isRemoteDesktopProtocolEnabled . |
sincronización | sincronización | Representa la funcionalidad para la sincronización de identidades de Microsoft Entra mediante microsoft Graph API. |
tokenIssuancePolicies | Colección tokenIssuancePolicy | Las tokenIssuancePolicies asignadas a esta entidad de servicio. Admite $expand . |
tokenLifetimePolicies | Colección tokenLifetimePolicy | La colección tokenLifetimePolicies asignada a esta entidad de servicio. Admite $expand . |
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"accountEnabled": true,
"addIns": [{"@odata.type": "microsoft.graph.addIn"}],
"alternativeNames": "String",
"appDisplayName": "String",
"appId": "String",
"appOwnerOrganizationId": "Guid",
"applicationTemplateId": "String",
"appRoleAssignmentRequired": true,
"appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
"customSecurityAttributes": {
"@odata.type": "microsoft.graph.customSecurityAttributeValue"
},
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"errorUrl": "String",
"homepage": "String",
"id": "String (identifier)",
"info": {"@odata.type": "microsoft.graph.informationalUrl"},
"keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
"loginUrl": "String",
"logoutUrl": "String",
"notes": "String",
"notificationEmailAddresses": ["String"],
"publishedPermissionScopes": [{"@odata.type": "microsoft.graph.permissionScope"}],
"passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
"passwordSingleSignOnSettings": {"@odata.type": "microsoft.graph.passwordSingleSignOnSettings"},
"preferredSingleSignOnMode": "String",
"preferredTokenSigningKeyEndDateTime": "DateTime",
"preferredTokenSigningKeyThumbprint": "String",
"publisherName": "String",
"replyUrls": ["String"],
"samlMetadataUrl": "String",
"samlSingleSignOnSettings": "microsoft.DirectoryServices.SamlSingleSignOnSettings",
"servicePrincipalNames": ["String"],
"servicePrincipalType": "String",
"signInAudience": "String",
"tags": ["String"],
"tokenEncryptionKeyId": "String",
"verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"}
}