appRoleAssignment 资源类型
命名空间:microsoft.graph
用于记录何时将用户、组或服务主体分配给应用的应用角色。
应用角色分配是分配的主体(用户、组或服务主体)、资源应用程序(应用的服务主体)与在资源应用程序上定义的应用角色之间的关系。
当已分配给主体 的应用角色 具有 nonempty 值 属性时,它将包含在令牌 的角色 声明中,其中主体是分配的主体 (例如 SAML 响应、ID 令牌、标识已登录用户的访问令牌或标识服务主体) 的访问令牌。 应用程序和 API 会将这些声明用作其授权逻辑的一部分。
可直接向用户分配应用角色。 如果将某应用角色分配给组,则该组的直接成员也将被视为已分配了该应用角色。 向用户分配应用程序的应用角色后,该应用程序的磁贴将显示在用户的 MyApps 门户和 Microsoft 365 应用启动器中。
所分配主体是服务主体的应用角色分配是仅应用权限授予。 当用户或管理员同意仅应用权限时,将创建一个应用角色分配,其中分配的主体是客户端应用程序的服务主体,并且资源是目标 API 的服务主体。
方法
方法 | 返回类型 | 说明 |
---|---|---|
列出组的应用角色分配 | appRoleAssignment 集合 | 获取组的 appRoleAssignment 对象及其属性的列表。 |
列出用户的应用角色分配 | appRoleAssignment 集合 | 获取用户的 appRoleAssignment 对象及其属性的列表。 |
列出客户端服务主体的应用角色分配 | appRoleAssignment 集合 | 获取客户端服务主体的 appRoleAssignment 对象及其属性的列表。 |
列出资源服务主体的用户、组和客户端服务主体的应用角色分配 | appRoleAssignment 集合 | 获取指定资源服务主体的用户、组和客户端服务主体 的 appRoleAssignment 对象及其属性的列表。 |
向组授予应用角色 | appRoleAssignment | 为组创建新的 appRoleAssignment 对象。 |
向用户授予应用角色 | appRoleAssignment | 为用户创建新的 appRoleAssignment 对象。 |
向客户端服务主体授予应用角色 | appRoleAssignment 集合 | 为客户端服务主体创建新的 appRoleAssignment 对象。 |
将应用角色分配授予资源服务主体的用户、组或客户端服务主体 | appRoleAssignment 集合 | 为指定资源服务主体的用户、组或客户端服务主体创建新的 appRoleAssignment 对象。 |
获取应用角色分配 | appRoleAssignment | 获取分配给资源服务主体的用户、组或客户端服务主体的 appRoleAssignment 对象。 |
删除组的应用角色分配 | None | 从组中删除 appRoleAssignment 对象。 |
删除用户的应用角色分配 | None | 从用户中删除 appRoleAssignment 对象。 |
删除客户端服务主体的应用角色分配 | None | 从客户端服务主体中删除 appRoleAssignment 对象。 |
将用户、组或客户端服务主体的应用角色分配删除到资源服务主体 | None | 从指定资源服务主体的用户、组或客户端服务主体中删除 appRoleAssignment 对象。 |
属性
属性 | 类型 | 说明 |
---|---|---|
appRoleId | Guid | 分配给主体的应用角色的标识符 (ID) 。 必须在资源应用程序的服务主体 (resourceId) 上的 appRoles 属性中公开此应用角色。 如果资源应用程序尚未声明任何应用角色,则可以指定 默认应用角色 ID 00000000-0000-0000-0000-000000000000 ,以指示主体已分配给资源应用,而没有任何特定应用角色。 创建时为必需项。 |
createdDateTime | DateTimeOffset | 创建应用角色分配的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z 。 只读。 |
deletedDateTime | DateTimeOffset | 删除应用角色分配的日期和时间。 始终 null 针对尚未删除的 appRoleAssignment 对象。 继承自 directoryObject。 |
id | String | appRoleAssignment 密钥的唯一标识符。 不可为 null。 只读。 |
principalDisplayName | 字符串 | 已被授予应用角色分配的用户、组或服务主体的显示名称。 最大长度为 256 个字符。 只读。 支持 $filter (eq 和 startswith )。 |
principalId | Guid | 被授予应用角色的用户、安全组或服务主体的唯一标识符 (ID) 。 支持具有动态成员身份的安全组。 创建时为必需项。 |
principalType | 字符串 | 已分配的主体的类型。 这可以是 User 、Group 或 ServicePrincipal 。 只读。 |
resourceDisplayName | 字符串 | 已为其分配的资源应用的服务主体的显示名称。 最大长度为 256 个字符。 |
resourceId | Guid | 已为其分配的资源服务主体的唯一标识符 (id)。 创建时为必需项。 支持 $filter (仅 eq )。 |
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"appRoleId": "Guid",
"createdDateTime": "String (timestamp)",
"deletedDateTime": "String (timestamp)",
"id": "String",
"principalDisplayName": "String",
"principalId": "Guid",
"principalType": "String",
"resourceDisplayName": "String",
"resourceId": "Guid"
}