使用 Microsoft Graph 管理Microsoft Entra应用程序和服务主体
Microsoft Entra ID是标识和访问管理 (IAM) 系统。 其功能的核心部分是Microsoft 标识平台,它为已注册的应用程序提供身份验证和授权服务。 Microsoft Graph API 允许以编程方式注册和管理应用程序,使你能够使用 Microsoft 的 IAM 功能。
应用程序和服务主体
在 Microsoft Entra 中,应用程序由应用程序对象和服务主体对象定义。 跨Microsoft Entra只有一个应用程序对象,但应用程序可以有多个服务主体对象。
应用程序对象位于注册应用的租户中。 在安装并使用应用的每个租户(包括注册应用的租户)中创建服务主体。 有关详细信息,请参阅 Microsoft Entra ID 中的应用程序和服务主体对象。
在 Microsoft Graph 中,应用程序由 应用程序资源类型 表示,服务主体由 servicePrincipal 资源类型表示。 可通过标识应用程序应用注册和标识>应用程序>企业应用程序>菜单在Microsoft Entra 管理中心>上访问这两个对象的详细信息。
用于管理应用程序的 API 用例
支持以下 API 用例通过 Microsoft Graph 中的 应用程序资源类型管理应用程序 。
用例 | API 操作 |
---|---|
注册应用程序并配置其基本属性 | 创建应用程序 |
配置已注册应用程序的属性,包括: |
更新应用程序 |
删除应用程序 | 删除应用程序 |
管理已删除的应用程序 | |
管理应用程序的密码凭据 | |
管理应用程序的联合标识凭据 | 开始使用 Microsoft Graph 管理联合标识凭据 |
管理应用程序的基于证书的凭据 | |
管理应用程序的目录扩展 | |
跟踪对应用程序的更改 | ..?$filter=isof('microsoft.graph.application') |
管理所有者 | |
管理发布者验证 |
用于管理服务主体的 API 用例
支持以下 API 用例通过 Microsoft Graph 中的 servicePrincipal 资源类型 管理服务主体。
用例 | API 操作 |
---|---|
注册服务主体 | 创建 servicePrincipal |
配置服务主体的属性,包括: |
更新 servicePrincipal |
删除服务主体 | 删除 servicePrincipal |
管理已删除的服务主体 (查看、还原或永久删除) | |
管理服务主体的密码凭据 | |
管理服务主体的基于证书的凭据 | |
添加 SAML 令牌签名证书 | |
跟踪对服务主体的更改 | ..?$filter=isof('microsoft.graph.servicePrincipal') |
管理所有者 |
应用程序模板
应用程序模板是在 Microsoft Entra 应用库中提供的应用。 使用 applicationTemplate 资源类型及其关联方法 可以:
- 从应用程序库中识别应用
- 按它们支持的 SSO 模式识别应用
- 从应用程序库实例化应用和服务主体
适用于应用程序和服务主体的策略
策略说明 | API 操作 | 适用对象 |
---|---|---|
(RDS) 身份验证协议管理Microsoft Entra ID远程桌面服务 | remoteDesktopSecurityConfiguration 资源类型及其关联方法 | 服务主体 |
配置 SAML 令牌策略 | tokenIssuancePolicy 资源类型及其关联方法 | 应用程序 服务主体 |
配置访问、SAML 和 ID 令牌的策略 | 令牌生存期策略 - tokenLifetimePolicy 资源类型及其关联方法 令牌颁发策略 - tokenIssuancePolicy 资源类型及其关联方法 |
应用程序 服务主体 |
管理所有设备类型的 Microsoft 365 Web 应用的空闲会话超时 注意: 若要仅针对非托管设备触发策略,还需要添加条件访问策略。 |
activityBasedTimeoutPolicy 资源类型及其关联方法 | Microsoft 365 Web 应用 |
管理如何在组织中使用证书和密码机密的策略。 创建租户范围策略或特定于应用的策略,例如阻止使用或限制密码机密或对称密钥的生存期,以及强制实施受信任的证书颁发机构 | 应用程序身份验证方法策略 | 应用程序 |
管理 WS-Fed、SAML、OAuth 2.0 和 OpenID Connect 协议的声明映射策略,以及策略应用于的应用程序 | claimsMappingPolicy 资源类型及其关联方法 | 服务主体 |
管理租户的主领域发现 (HRD) ,并将策略分配给服务主体 | homeRealmDiscoveryPolicy 资源类型及其关联方法 | 服务主体 |
标识同步 (预配)
Microsoft Graph 中的预配 API 允许在以下方案中自动执行和管理标识的预配和取消预配:
- 从本地 Active Directory到Microsoft Entra ID
- 从其他云目录到Microsoft Entra ID
- 从Microsoft Entra ID到云应用程序,例如 Dropbox、Salesforce、ServiceNow 等
有关详细信息,请参阅Microsoft Entra同步 API 概述。