APIs de gerenciamento de identidade privilegiadas
O Privileged Identity Management (PIM), parte do Microsoft Entra, inclui três provedores:
- Funções do PIM para Microsoft Entra
- PIM para os recursos do Azure
- PIM para Grupos
Você pode gerenciar atribuições no PIM para funções do Microsoft Entra e no PIM para grupos usando o Microsoft Graph. Você pode gerenciar atribuições no PIM for Azure Resources usando APIs do Azure Resource Manager. Este artigo descreve conceitos importantes para usar as APIs para o Privileged Identity Management.
Encontre mais detalhes sobre APIs que permitem gerenciar atribuições na documentação:
- Referência da API de funções do PIM for Microsoft Entra
- Referência da API de funções de recursos do PIM para Azure
- Referência da API do PIM for Groups
- Referência da API de Alertas PIM para funções do Microsoft Entra
- Referência da API de Alertas PIM para Recursos do Azure
Histórico da API do PIM
Houve várias iterações das APIs do PIM nos últimos anos. Existem algumas sobreposições na funcionalidade, mas elas não representam uma progressão linear de versões.
Iteração 1 – Preterida
Sob o ponto de extremidade, a /beta/privilegedRoles
Microsoft tinha uma versão clássica da API do PIM, que suportava apenas funções do Microsoft Entra e não é mais suportada. O acesso a esta API foi preterido em junho de 2021.
Iteração 2 – Suporta funções do Microsoft Entra e funções de recursos do Azure
No ponto de extremidade, a Microsoft suportava ambos e /beta/privilegedAccess
/aadRoles
/azureResources
. Este ponto de extremidade ainda está disponível em seu locatário, mas a Microsoft recomenda não iniciar qualquer novo desenvolvimento com essa API. Essa API nunca será liberada para disponibilidade geral e, eventualmente, será preterida.
Iteração 3 (Atual) – PIM para funções do Microsoft Entra, grupos na API do Microsoft Graph e recursos do Azure na API do Azure Resource Manager
Esta é a iteração final da API PIM. Inclui:
- PIM para funções do Microsoft Entra na API do Microsoft Graph - Disponível ao público em geral.
- Recursos do PIM para Azure na API do Azure Resource Manager - Disponível ao público em geral.
- PIM para grupos na API do Microsoft Graph - Disponível ao público em geral.
- Alertas do PIM para funções do Microsoft Entra na API do Microsoft Graph - Visualização.
- Alertas PIM para Recursos do Azure na API ARM - Pré-visualização.
Ter funções do PIM para Microsoft Entra na API do Microsoft Graph e PIM para Recursos do Azure na API ARM oferece alguns benefícios, incluindo:
- Alinhamento das APIs do PIM para atribuição regular de funções para funções do Microsoft Entra e funções de Recursos do Azure.
- Reduzir a necessidade de chamar outras APIs PIM para integrar um recurso, obter um recurso ou obter definição de função.
- Suporte a permissões somente para aplicativos.
- Novos recursos, como aprovação e configuração de notificação por e-mail.
Visão geral da iteração da API PIM 3
As APIs PIM entre provedores (APIs do Microsoft Graph e APIs do Azure Resource Manager) seguem os mesmos princípios.
Gestão de tarefas
Para criar atribuição (ativa ou elegível), renovar, estender a atribuição de atualização (ativa ou elegível), ativar atribuição elegível, desativar atribuição qualificada, usar recursos *AssignmentScheduleRequest e *EligibilityScheduleRequest:
- Para funções do Microsoft Entra: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
- Para recursos do Azure: Solicitação de Agenda de Atribuição de Função, Solicitação de Agenda de Elegibilidade de Função;
- Para grupos: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.
A criação de objetos *AssignmentScheduleRequest ou *EligibilityScheduleRequest pode levar à criação de objetos *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance e *EligibilityScheduleInstance .
- *Os objetos AssignmentSchedule e *EligibilitySchedule mostram atribuições atuais e solicitações de atribuições a serem criadas no futuro.
- *Os objetos AssignmentScheduleInstance e *EligibilityScheduleInstance mostram apenas as atribuições atuais.
Quando uma atribuição elegível é ativada (Create *AssignmentScheduleRequest foi chamado), o *EligibilityScheduleInstance continua a existir, novos objetos *AssignmentSchedule e *AssignmentScheduleInstance são criados para essa duração ativada.
Para obter mais informações sobre APIs de atribuição e ativação, consulte API PIM para gerenciar atribuições de função e elegibilidades.
Políticas PIM (configurações de função)
Para gerenciar as políticas do PIM, use as entidades *roleManagementPolicy e *roleManagementPolicyAssignment :
- Para funções do PIM for Microsoft Entra, PIM for Groups: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
- Para recursos do PIM para Azure: Políticas de Gerenciamento de Função, Atribuições de Política de Gerenciamento de Função
O recurso *roleManagementPolicy inclui regras que constituem a política PIM: requisitos de aprovação, duração máxima de ativação, configurações de notificação e assim por diante.
O objeto *roleManagementPolicyAssignment anexa a política a uma função específica.
Para obter mais informações sobre as APIs de configurações de política, consulte configurações de função e PIM.
Permissões
Funções do PIM para Microsoft Entra
Para obter as permissões do Microsoft Graph necessárias para funções do PIM para Microsoft Entra, consulte as páginas de referência da API REST correspondentes.
PIM para os recursos do Azure
As APIs do PIM para funções de recursos do Azure são desenvolvidas sobre a estrutura do Azure Resource Manager. Você precisa consentir com o Gerenciamento de Recursos do Azure, mas não precisa de nenhuma permissão do Microsoft Graph. Você também precisa verificar se o usuário ou a entidade de serviço que chama a API tem pelo menos a função de Proprietário ou Administrador de Acesso de Usuário no recurso que você está tentando administrar.
PIM para Grupos
Para obter as permissões do Microsoft Graph necessárias para o PIM for Groups, consulte as páginas de referência da API REST correspondentes.
Relação entre entidades PIM e entidades de atribuição de função
O único link entre a entidade PIM e a entidade de atribuição de função para atribuição persistente (ativa) para funções do Microsoft Entra ou funções do Azure é o *AssignmentScheduleInstance. Há um mapeamento um-para-um entre as duas entidades. Esse mapeamento significa que roleAssignment e *AssignmentScheduleInstance incluiriam:
- Atribuições persistentes (ativas) feitas fora do PIM
- Atribuições persistentes (ativas) com um cronograma feito dentro do PIM
- Atribuições elegíveis ativadas
As propriedades específicas do PIM, como a hora de término, estarão disponíveis somente por meio do objeto *AssignmentScheduleInstance .