accessPackage:getApplicablePolicyRequirements
命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
在Microsoft Entra权利管理中,此操作检索当前登录用户可用于创建 accessPackageAssignmentRequestRequestRequest 对象的列表。 每个要求对象都对应于一个访问包分配策略,允许当前已登录的用户为其请求分配。
此 API 可用于以下国家级云部署。
| 全局服务 | 美国政府 L4 | 美国政府 L5 (DOD) | 由世纪互联运营的中国 |
|---|---|---|---|
| ✅ | ✅ | ✅ | ❌ |
权限
为此 API 选择标记为最低特权的权限。 只有在应用需要它时,才使用更高的特权权限。 有关委派权限和应用程序权限的详细信息,请参阅权限类型。 要了解有关这些权限的详细信息,请参阅 权限参考。
| 权限类型 | 最低特权权限 | 更高特权权限 |
|---|---|---|
| 委派(工作或学校帐户) | EntitlementManagement.Read.All | EntitlementManagement.ReadWrite.All |
| 委派(个人 Microsoft 帐户) | 不支持。 | 不支持。 |
| 应用程序 | 不支持。 | 不支持。 |
提示
在具有工作或学校帐户的委托方案中,还必须通过以下选项之一为已登录用户分配具有支持的角色权限的管理员角色:
-
权利管理系统中具有最低特权角色的角色:
- 访问包管理器。 这是最低特权选项
- 目录所有者
- 此操作支持的更多特权Microsoft Entra角色:
- 标识治理管理员
在仅限应用的情况下,可为调用应用分配上述受支持的角色之一,而不是 EntitlementManagement.ReadWrite.All 应用程序权限。
访问包管理员角色的特权低于EntitlementManagement.ReadWrite.All应用程序权限。
有关详细信息,请参阅 权利管理中的委派和角色 以及如何 在权利管理中将访问管理委托给访问包管理员。
HTTP 请求
POST /identityGovernance/entitlementManagement/accessPackages/{id}/getApplicablePolicyRequirements
函数参数
无。
请求标头
| 名称 | 说明 |
|---|---|
| Authorization | 持有者 {token}。 必填。 详细了解 身份验证和授权。 |
请求正文
如果要检索访问包要求列表,请不要为此方法提供请求正文,如示例 1 所示。 如果要获取用户范围的策略要求,如示例 2 所示,则必须提供请求正文。
响应
如果成功,此方法在响应正文中返回响应 200 OK 代码和 accessPackageAssignmentRequestRequirements 集合,即用户作为 allowedRequestor 的每个策略的一个对象。 如果策略没有要求,则 accessPackageAssignmentRequestRequirements 具有 false 和 null 值。 如果没有用户为 allowedRequestor 的策略,则会改为返回空集合。
示例
示例 1:检索访问包要求列表以创建访问包
请求
以下示例显示了一个请求。
POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/fb449cf8-3a59-4d86-bdfd-a1b7299681de/getApplicablePolicyRequirements
响应
以下示例显示了相应的响应。
注意:为了提高可读性,可能缩短了此处显示的响应对象。
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": [
{
"policyId": "d6322c23-04d6-eb11-b22b-c8d9d21f4e9a",
"policyDisplayName": "Initial Policy",
"policyDescription": "Initial Policy",
"isApprovalRequired": false,
"isApprovalRequiredForExtension": false,
"isRequestorJustificationRequired": false,
"questions": [
{
"@odata.type": "#microsoft.graph.textInputQuestion",
"id": "0fd349e2-a3a7-4712-af08-660f29c12b90",
"isRequired": true,
"isAnswerEditable": null,
"sequence": 0,
"isSingleLineQuestion": true,
"text": {
"defaultText": "What is your display name",
"localizedTexts": []
}
}
],
"existingAnswers": [],
"schedule": []
}
]
}
示例 2:获取给定用户范围的策略要求
请求
以下示例显示了一个请求。
POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/b15419bb-5ffc-ea11-b207-c8d9d21f4e9a/getApplicablePolicyRequirements
{
"subject": {
"objectId": "5acd375c-8acb-45de-a958-fa0dd89259ad"
}
}
响应
以下示例显示了相应的响应。
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": [
{
"policyId": "d6322c23-04d6-eb11-b22b-c8d9d21f4e9a",
"policyDisplayName": "Initial Policy",
"policyDescription": "Initial Policy",
"isApprovalRequired": false,
"isApprovalRequiredForExtension": false,
"isRequestorJustificationRequired": false,
"questions": [
{
"@odata.type": "#microsoft.graph.textInputQuestion",
"id": "5a7f2a8f-b802-4438-bec6-09599bc43e13",
"isRequired": false,
"isAnswerEditable": true,
"sequence": 0,
"isSingleLineQuestion": true,
"text": {
"defaultText": "Enter your mail",
"localizedTexts": []
}
}
],
"existingAnswers": [
{
"@odata.type": "#microsoft.graph.answerString",
"displayValue": "admin@contoso.com",
"value": "admin@contoso.com",
"answeredQuestion": {
"@odata.type": "#microsoft.graph.textInputQuestion",
"id": "5a7f2a8f-b802-4438-bec6-09599bc43e13",
"isRequired": false,
"isAnswerEditable": true,
"sequence": 0,
"isSingleLineQuestion": true,
"text": {
"defaultText": "Enter your mail",
"localizedTexts": []
}
}
}
],
"schedule": []
}
]
}
示例 3:获取可验证凭据状态要求的策略要求
请求
以下示例显示了一个请求。
POST /identityGovernance/entitlementManagement/accessPackages(‘b15419bb-5ffc-ea11-b207-c8d9d21f4e9a’)/getApplicablePolicyRequirements
响应
如果这是首次请求凭据,并且请求者未扫描 QR 码或单击 URL,则以下示例显示响应。
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": [
{
"policyId": "a93f6641-bcba-ec11-9d14-001a7dda7113",
"policyDisplayName": "VC Policy 1",
"policyDescription": "VC Policy Description 1",
"isApprovalRequiredForAdd": false,
"isApprovalRequiredForUpdate": false,
"isApprovalRequired": false,
"isApprovalRequiredForExtension": false,
"isCustomAssignmentScheduleAllowed": true,
"allowCustomAssignmentSchedule": true,
"isRequestorJustificationRequired": false,
"schedule": {
"startDateTime": null,
"duration": "P365D",
"stopDateTime": null,
"expiration": {
"endDateTime": null,
"duration": "P365D",
"type": "afterDuration"
},
"recurrence": null
},
"questions": [],
"existingAnswers": [],
"verifiableCredentialRequirementStatus": {
"@odata.type": "#microsoft.graph.verifiableCredentialRequired",
"expiryDateTime": "2022-05-10T23:32:47.8232759Z",
"url": "openid://vc/?request_uri=https://beta.did.msidentity.com/v1.0/87654321-0000-0000-0000-000000000000/verifiablecredentials/request/e4ef27ca-eb8c-4b63-823b-3b95140eac11",
}
}
]
}
如果请求者扫描了 QR 码或单击了 URL,则 verifiableCredentialRequirementStatus 属性采用以下格式。
"verifiableCredentialRequirementStatus": {
"@odata.type": "#microsoft.graph.verifiableCredentialRetrieved",
"expiryDateTime": "2022-05-10T23:32:47.8232759Z"
}
如果请求者提供了有效的凭据,则 verifiableCredentialRequirementStatus 属性采用以下格式。
"verifiableCredentialRequirementStatus": {
"@odata.type": "#microsoft.graph.verifiableCredentialVerified"
}