Tipo de recurso unifiedRolePermission
Espacio de nombres: microsoft.graph
Representa una colección de acciones de recursos permitidas y las condiciones que se deben cumplir para permitir la acción. Las acciones de recursos son tareas que se pueden realizar en un recurso. Por ejemplo, un recurso de aplicación puede admitir acciones de creación, actualización, eliminación y restablecimiento de contraseña.
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| allowedResourceActions | Colección string | Conjunto de tareas que se pueden realizar en un recurso. Obligatorio. |
| condición | Cadena | Restricciones opcionales que deben cumplirse para que el permiso sea efectivo. No se admite para roles personalizados. |
| excludedResourceActions | Colección string | Conjunto de tareas que pueden no realizarse en un recurso. Todavía no se admite. |
allowedResourceActions (propiedad)
El siguiente es el esquema para las acciones de recursos:
{Namespace}/{Entity}/{PropertySet}/{Action}
Por ejemplo: microsoft.directory/applications/credentials/update.
-
{Namespace}: los servicios que exponen la tarea. Por ejemplo, todas las tareas de Microsoft Entra ID usan el espacio de nombres
microsoft.directory. -
{Entity} : características lógicas o componentes expuestos por el servicio en Microsoft Graph. Por ejemplo,
applications,servicePrincipalsogroups. -
{PropertySet} : opcional. Propiedades o aspectos específicos de la entidad para la que se concede acceso. Por ejemplo,
microsoft.directory/applications/authentication/readconcede la capacidad de leer la dirección URL de respuesta, la dirección URL de cierre de sesión y la propiedad de flujo implícita en el objeto de aplicación en Microsoft Entra ID. Los siguientes son nombres reservados para conjuntos de propiedades comunes:-
allProperties: designa todas las propiedades de la entidad, incluidas las propiedades con privilegios. Algunos ejemplos sonmicrosoft.directory/applications/allProperties/readymicrosoft.directory/applications/allProperties/update. -
basic: designa propiedades de lectura comunes, pero excluye las con privilegios. Por ejemplo,microsoft.directory/applications/basic/updateincluye la capacidad de actualizar propiedades estándar, como el nombre para mostrar. -
standard: designa propiedades de actualización comunes, pero excluye las con privilegios. Por ejemplo,microsoft.directory/applications/standard/read.
-
-
{Actions}: las operaciones que se conceden. En la mayoría de los casos, los permisos deben expresarse en términos de operaciones CRUD o
allTasks. Las acciones incluyen:-
create: la capacidad de crear una nueva instancia de la entidad. -
read- La capacidad de leer un conjunto de propiedades determinado (incluidas todas laspropiedades). -
update- La capacidad de actualizar un conjunto de propiedades determinado (incluidas todas laspropiedades). -
delete- La capacidad de eliminar una entidad determinada. -
allTasks: representa todas las operaciones CRUD (crear, leer, actualizar y eliminar).
-
condition (propiedad)
Las condiciones definen las restricciones que se deben cumplir. Por ejemplo, un requisito de que la entidad de seguridad sea el propietario del recurso de destino. A continuación se muestran las condiciones admitidas:
-
Self: "@Subject.objectId == @Resource.objectId" -
Owner: "@Subject.objectId Any_of @Resource.owners"
A continuación se muestra un ejemplo de un permiso de rol con una condición de que la entidad de seguridad sea el propietario del recurso de destino.
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "@Subject.objectId Any_of @Resource.owners"
}
]
Las condiciones no se admiten para roles personalizados.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"@odata.type": "#microsoft.graph.unifiedRolePermission",
"allowedResourceActions": ["String"],
"excludedResourceActions": ["String"],
"condition": "String"
}
Contenido relacionado
- Permisos de rol de administrador en Microsoft Entra : para obtener información sobre los permisos para los roles de directorio integrados.
- Subtipos y permisos de registro de aplicaciones en Microsoft Entra ID : para obtener información sobre los permisos que están disponibles para los roles de directorio personalizados.