Interfejsy API usługi Privileged Identity Management
Usługa Privileged Identity Management (PIM), część firmy Microsoft Entra, obejmuje trzech dostawców:
- Usługa PIM dla ról entra firmy Microsoft
- Usługa PIM dla zasobów platformy Azure
- Usługa PIM dla grup
Przy użyciu programu Microsoft Graph można zarządzać przypisaniami w usłudze PIM dla ról firmy Microsoft i usługi PIM dla grup. Przy użyciu interfejsów API usługi Azure Resource Manager można zarządzać przypisaniami w usłudze PIM dla zasobów platformy Azure. W tym artykule opisano ważne pojęcia dotyczące używania interfejsów API usługi Privileged Identity Management.
Więcej informacji na temat interfejsów API, które umożliwiają zarządzanie przypisaniami w dokumentacji:
- Dokumentacja interfejsu API usługi PIM for Microsoft Entra roles
- Dokumentacja interfejsu API usługi PIM dla ról zasobów platformy Azure
- Dokumentacja interfejsu API usługi PIM dla grup
- Dokumentacja interfejsu API ról usługi PIM dla firmy Microsoft
- Dokumentacja interfejsu API usługi PIM dla zasobów platformy Azure
Historia interfejsu API usługi PIM
W ciągu ostatnich kilku lat odnotowano kilka iteracji interfejsów API usługi PIM. Istnieją pewne nakładające się funkcje, ale nie reprezentują liniowego postępu wersji.
Iteracja 1 — przestarzała
/beta/privilegedRoles
W ramach punktu końcowego firma Microsoft miała klasyczną wersję interfejsu API PIM, która obsługiwała tylko role firmy Microsoft Entra i nie jest już obsługiwana. Dostęp do tego interfejsu API został wycofany w czerwcu 2021 r.
Iteracja 2 — obsługuje role entra firmy Microsoft i role zasobów platformy Azure
W obszarze punktu końcowego /beta/privilegedAccess
firma Microsoft obsługuje zarówno elementy , jak /aadRoles
i /azureResources
. Ten punkt końcowy jest nadal dostępny w dzierżawie, ale firma Microsoft zaleca rozpoczęcie dowolnego nowego programowania za pomocą tego interfejsu API. Ten interfejs API nigdy nie zostanie wydany do ogólnej dostępności i ostatecznie zostanie wycofany.
Iteracja 3 (bieżąca) — usługa PIM dla ról, grup w interfejsie Microsoft Graph API i zasobów platformy Azure w interfejsie API usługi Azure Resource Manager
Jest to ostatnia iteracja interfejsu API USŁUGI PIM. Zawartość:
- Usługa PIM dla ról firmy Microsoft Entra w interfejsie MICROSOFT Graph API — ogólnie dostępna.
- Usługa PIM dla zasobów platformy Azure w interfejsie API usługi Azure Resource Manager — ogólnie dostępna.
- Usługa PIM dla grup w interfejsie Microsoft Graph API — ogólnie dostępna.
- Alerty usługi PIM dla ról firmy Microsoft Entra w interfejsie API programu Microsoft Graph — wersja zapoznawcza.
- Alerty usługi PIM dotyczące zasobów platformy Azure w interfejsie API usługi ARM — wersja zapoznawcza.
Posiadanie ról usługi PIM dla firmy Microsoft Entra w interfejsie MICROSOFT Graph API i usłudze PIM dla zasobów platformy Azure w interfejsie API usługi ARM zapewnia kilka korzyści, takich jak:
- Wyrównanie interfejsów API usługi PIM na potrzeby regularnego przypisywania ról zarówno dla ról firmy Microsoft Entra, jak i ról zasobów platformy Azure.
- Zmniejszenie potrzeby wywoływania innych interfejsów API usługi PIM w celu dołączenia zasobu, pobrania zasobu lub pobrania definicji roli.
- Obsługa uprawnień tylko do aplikacji.
- Nowe funkcje, takie jak zatwierdzenie i konfiguracja powiadomień e-mail.
Omówienie iteracji interfejsu API usługi PIM 3
Interfejsy API usługi PIM między dostawcami (interfejsy API programu Microsoft Graph i interfejsy API usługi Azure Resource Manager) są zgodne z tymi samymi zasadami.
Zarządzanie przydziałami
Aby utworzyć przypisanie (aktywne lub kwalifikujące się), odnowić, rozszerzyć przydział aktualizacji (aktywny lub uprawniony), aktywować kwalifikujące się przypisanie, dezaktywować kwalifikujące się przypisanie, użyć zasobów *PrzypisaniaScheduleRequest i *UprawnieniaScheduleRequest:
- W przypadku ról entra firmy Microsoft: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
- W przypadku zasobów platformy Azure: żądanie harmonogramu przypisania roli, żądanie harmonogramu uprawnień roli;
- W przypadku grup: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.
Tworzenie obiektów *AssignmentScheduleRequest lub *EligibilityScheduleRequest może prowadzić do utworzenia obiektów tylko do odczytu *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance i *EligibilityScheduleInstance.
- *AssignmentSchedule i *EligibilitySchedule obiekty pokazują bieżące przypisania i żądania utworzenia przypisań w przyszłości.
- *PrzypisaniaScheduleInstance i *UprawnieniaScheduleInstance obiekty pokazują tylko bieżące przypisania.
Po aktywowaniu kwalifikującego się przypisania (wywołano polecenie Create *AssignmentScheduleRequest), dla tego aktywowanego czasu trwania są nadal tworzone *UprawnieniaScheduleInstance, nowe *PrzypisaniaSchedule i obiekty *AssignmentScheduleInstance.
Aby uzyskać więcej informacji na temat interfejsów API przypisywania i aktywacji, zobacz Interfejs API usługi PIM do zarządzania przypisaniami ról i uprawnieniami.
Zasady usługi PIM (ustawienia roli)
Aby zarządzać zasadami usługi PIM, użyj jednostek *roleManagementPolicy i *roleManagementPolicyAssignment:
- W przypadku ról usługi PIM dla firmy Microsoft Entra usługa PIM dla grup: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
- W przypadku usługi PIM dla zasobów platformy Azure: zasady zarządzania rolami, przypisania zasad zarządzania rolami
Zasób *roleManagementPolicy zawiera reguły, które składają się na zasady PIM: wymagania dotyczące zatwierdzania, maksymalny czas trwania aktywacji, ustawienia powiadomień itd.
Obiekt *roleManagementPolicyAssignment dołącza zasady do określonej roli.
Aby uzyskać więcej informacji na temat interfejsów API ustawień zasad, zobacz Ustawienia ról i usługa PIM.
Uprawnienia
Usługa PIM dla ról entra firmy Microsoft
Aby uzyskać uprawnienia programu Microsoft Graph wymagane w przypadku ról usługi PIM dla firmy Microsoft Entra, zobacz odpowiednie strony referencyjne interfejsu API REST.
Usługa PIM dla zasobów platformy Azure
Interfejsy API usługi PIM dla ról zasobów platformy Azure są opracowywane w oparciu o strukturę usługi Azure Resource Manager. Musisz wyrazić zgodę na usługę Azure Resource Management, ale nie potrzebujesz żadnych uprawnień programu Microsoft Graph. Należy również upewnić się, że użytkownik lub jednostka usługi wywołująca interfejs API ma co najmniej rolę Właściciel lub Administrator dostępu użytkowników do zasobu, który próbujesz administrować.
Usługa PIM dla grup
Aby uzyskać uprawnienia programu Microsoft Graph wymagane dla usługi PIM dla grup, zobacz odpowiednie strony referencyjne interfejsu API REST.
Relacja między jednostkami usługi PIM a jednostkami przypisania roli
Jedynym linkiem między jednostką PIM a jednostką przypisania roli dla trwałych (aktywnych) przypisań ról firmy Microsoft lub ról platformy Azure jest *AssignmentScheduleInstance. Istnieje mapowanie jeden do jednego między dwiema jednostkami. To mapowanie oznacza, że atrybut roleAssignment i *AssignmentScheduleInstance będą obejmować:
- Trwałe (aktywne) przypisania wykonywane poza usługą PIM
- Trwałe (aktywne) przypisania z harmonogramem wykonanym wewnątrz usługi PIM
- Aktywowane kwalifikujące się przypisania
Właściwości specyficzne dla usługi PIM (takie jak godzina zakończenia) będą dostępne tylko za pośrednictwem obiektu *AssignmentScheduleInstance .