Compartilhar via


Obter appRoleAssignment

Namespace: microsoft.graph

Leia as propriedades e relações de um objeto appRoleAssignment .

Esta API está disponível nas seguintes implementações de cloud nacionais.

Serviço global US Government L4 US Government L5 (DOD) China operada pela 21Vianet

Permissões

A tabela seguinte mostra as permissões ou permissões com menos privilégios necessárias para chamar esta API em cada tipo de recurso suportado. Siga as melhores práticas para pedir permissões com menos privilégios. Para obter detalhes sobre as permissões delegadas e de aplicação, veja Tipos de permissão. Para saber mais sobre estas permissões, veja a referência de permissões.

Recurso com suporte Delegada (conta corporativa ou de estudante) Delegada (conta pessoal da Microsoft) Application
grupo Group.Read.All Sem suporte. Group.Read.All
servicePrincipal Application.Read.All Sem suporte. Application.Read.All
usuário User.Read Sem suporte. Directory.Read.All

Importante

Em cenários delegados com contas escolares ou profissionais, o utilizador com sessão iniciada tem de ter uma função de Microsoft Entra suportada ou uma função personalizada com uma permissão de função suportada. As seguintes funções com menos privilégios são suportadas para esta operação:

  • Convidado – Ler atribuições de funções de aplicações apenas para utilizadores
  • Leitores de Diretórios
  • Contas de Sincronização de Diretórios – para serviços Microsoft Entra Connect e Microsoft Entra Cloud Sync
  • Escritor de Diretórios
  • Administrador de Identidade Híbrida
  • Administrador de Governação de Identidades
  • Administrador de Função Privilegiada
  • Administrador do usuário
  • Administrador de Aplicativos
  • Administrador de Aplicativos de Nuvem

Outras permissões suportadas

Cada recurso suporta as seguintes permissões com privilégios superiores:

  • Grupos:
    • Permissões delegadas e de aplicação: Directory.Read.All, AppRoleAssignment.ReadWrite.All, Directory.ReadWrite.All
  • Usuários:
    • Permissões delegadas: User.ReadBasic.All, Directory.Read.All, AppRoleAssignment.ReadWrite.All
    • Permissões da aplicação: Directory.Read.All, AppRoleAssignment.ReadWrite.All
  • Principais de serviço:
    • Permissões delegadas: Directory.Read.All, Application.ReadWrite.All, Directory.ReadWrite.All
    • Permissões da aplicação: Application.ReadWrite.OwnedBy, Application.ReadWrite.All, Directory.ReadWrite.All

Solicitação HTTP

Para obter detalhes de uma appRole concedida a um principal de serviço:

GET /servicePrincipals/{client-serviceprincipal-id}/appRoleAssignments/{appRoleAssignment-id}
GET /servicePrincipals(appId='{client-servicePrincipal-appId}')/appRoleAssignments/{appRoleAssignment-id}

Para obter detalhes de uma appRole concedida a um utilizador, grupo ou principal de serviço de cliente para o principal de serviço de recurso especificado:

GET /servicePrincipals(appId='{resource-servicePrincipal-appId}')/appRoleAssignedTo/{appRoleAssignment-id}
GET /servicePrincipals/{resource-serviceprincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}

Para obter detalhes de uma appRole concedida a um grupo:

GET /groups/{group-id}/appRoleAssignments/{appRoleAssignment-id}

Para obter detalhes de uma appRole concedida a um utilizador:

GET /users/{user-id}/appRoleAssignments/{appRoleAssignment-id}
GET /me/appRoleAssignments/{appRoleAssignment-id}

Parâmetros de consulta opcionais

Este método suporta o $select parâmetro de consulta OData para ajudar a personalizar a resposta. Para obter informações gerais, acesse Parâmetros de consulta OData.

Cabeçalhos de solicitação

Nome Descrição
Autorização {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização.

Corpo da solicitação

Não forneça um corpo de solicitação para esse método.

Resposta

Se tiver êxito, este método retornará um código de resposta 200 OK e um objeto appRoleAssignment no corpo da resposta.

Exemplos

Exemplo 1: Obter detalhes de uma função de aplicação concedida a um utilizador, grupo ou principal de serviço de cliente para o principal de serviço de recurso especificado

Solicitação

O pedido seguinte consulta o principal do serviço de recursos para obter detalhes sobre uma função de aplicação que concedeu a um cliente que pode ser um utilizador, grupo ou principal de serviço de cliente no inquilino.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/appRoleAssignedTo/ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA

Resposta

O exemplo a seguir mostra a resposta. Mostra que foi concedida a um principal de serviço de cliente o nome Postman uma função de aplicação com o ID df021288-bdef-4463-88db-98f22de89214 , que é a permissão de aplicação User.Read.All , para o principal do serviço de recursos com o nome Microsoft Graph.

Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('00000003-0000-0000-c000-000000000000')/appRoleAssignedTo/$entity",
    "id": "ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA",
    "deletedDateTime": null,
    "appRoleId": "df021288-bdef-4463-88db-98f22de89214",
    "createdDateTime": "2023-02-24T17:01:47.0988029Z",
    "principalDisplayName": "Postman",
    "principalId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7",
    "principalType": "ServicePrincipal",
    "resourceDisplayName": "Microsoft Graph",
    "resourceId": "7408235b-7540-4850-82fe-a5f15ed019e2"
}

Exemplo 2: Obter detalhes de uma função de aplicação concedida a um principal de serviço

Solicitação

O pedido seguinte consulta o principal de serviço do cliente para obter os detalhes de uma função de aplicação concedida ao mesmo. Neste caso, a função da aplicação representa a permissão da aplicação.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='ceb96a54-de95-49a0-b38c-c55263fcf421')/appRoleAssignments/ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA

Resposta

O exemplo a seguir mostra a resposta. Mostra que foi concedida a um principal de serviço de cliente o nome Postman uma função de aplicação com o ID df021288-bdef-4463-88db-98f22de89214 , que é a permissão de aplicação User.Read.All , para o principal do serviço de recursos com o nome Microsoft Graph.

Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('ceb96a54-de95-49a0-b38c-c55263fcf421')/appRoleAssignments/$entity",
    "id": "ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA",
    "deletedDateTime": null,
    "appRoleId": "df021288-bdef-4463-88db-98f22de89214",
    "createdDateTime": "2023-02-24T17:01:47.0988029Z",
    "principalDisplayName": "Postman",
    "principalId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7",
    "principalType": "ServicePrincipal",
    "resourceDisplayName": "Microsoft Graph",
    "resourceId": "7408235b-7540-4850-82fe-a5f15ed019e2"
}

Exemplo 3: Obter detalhes de uma função de aplicação concedida ao utilizador com sessão iniciada

Solicitação

O pedido seguinte consulta as appRoleAssignments do utilizador com sessão iniciada.

GET https://graph.microsoft.com/v1.0/me/appRoleAssignments/Lo6gEKI-4EyAy9X91LBepo6Aq0Rt6QxBjWRl76txk8I

Resposta

O exemplo a seguir mostra a resposta. Mostra que o utilizador com sessão iniciada tem a função de aplicação predefinida para um principal de serviço de recursos com o nome Postman.

Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users('10a08e2e-3ea2-4ce0-80cb-d5fdd4b05ea6')/appRoleAssignments/$entity",
    "id": "Lo6gEKI-4EyAy9X91LBepo6Aq0Rt6QxBjWRl76txk8I",
    "deletedDateTime": null,
    "appRoleId": "00000000-0000-0000-0000-000000000000",
    "createdDateTime": "2022-09-08T17:43:57.8423817Z",
    "principalDisplayName": "MOD Administrator",
    "principalId": "10a08e2e-3ea2-4ce0-80cb-d5fdd4b05ea6",
    "principalType": "User",
    "resourceDisplayName": "Postman",
    "resourceId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7"
}