rozhraní API Privileged Identity Management

Článek
09/22/2023

Privileged Identity Management (PIM), která je součástí Microsoft Entra, zahrnuje tři zprostředkovatele:

PIM pro role Microsoft Entra
PIM pro prostředky Azure
PIM pro skupiny

Pomocí Microsoft Graph API můžete spravovat přiřazení v PIM pro role Microsoft Entra a PIM pro skupiny. Přiřazení pro prostředky Azure můžete spravovat v PIM pomocí rozhraní API azure Resource Manager (ARM). Tento článek popisuje důležité koncepty použití rozhraní API pro Privileged Identity Management.

Další podrobnosti o rozhraních API, která umožňují spravovat přiřazení, najdete v dokumentaci:

Historie rozhraní PIM API

V posledních několika letech došlo k několika iteracím rozhraní PIM API. Ve funkcích najdete určité překrývání, ale nepředstavují lineární průběh verzí.

Iterace 1 – zastaralé

V rámci koncového bodu /beta/privilegedRoles měl Microsoft klasickou verzi rozhraní PIM API, která podporovala pouze Microsoft Entra role a už se nepodporuje. Přístup k tomuto rozhraní API byl v červnu 2021 zastaralý.

Iterace 2 – podpora Microsoft Entra rolí a rolí prostředků Azure

V rámci koncového /beta/privilegedAccess bodu Microsoft podporoval i /azureResources/aadRoles . Tento koncový bod je stále k dispozici ve vašem tenantovi, ale Microsoft doporučuje s tímto rozhraním API spouštět jakýkoli nový vývoj. Toto beta rozhraní API nebude nikdy vydáno do obecné dostupnosti a nakonec bude zastaralé.

Iterace 3 (aktuální) – PIM pro Microsoft Entra role, skupiny v Microsoft Graph API a prostředky Azure v rozhraní ARM API

Toto je konečná iterace rozhraní API PIM. Obsahuje:

PIM pro Microsoft Entra role v Microsoft Graph API – obecně dostupné.
PIM pro prostředky Azure v rozhraní API ARM – Všeobecná dostupnost
PIM pro skupiny v Microsoft Graph API – Preview.
Upozornění PIM pro Microsoft Entra role v Microsoft Graph API – Preview
Upozornění PIM pro prostředky Azure v rozhraní API ARM – Preview

Použití PIM pro Microsoft Entra role v Microsoft Graph API a PIM pro prostředky Azure v rozhraní ARM API přináší několik výhod, mezi které patří:

Sladění rozhraní PIM API pro běžné rozhraní API pro přiřazení rolí pro role Microsoft Entra i role prostředků Azure.
Omezení nutnosti volat další rozhraní PIM API pro onboarding prostředku, získání prostředku nebo získání definice role.
Podpora oprávnění pouze pro aplikace.
Nové funkce, jako je schvalování a konfigurace e-mailových oznámení.

Přehled iterace rozhraní PIM API 3

Rozhraní PIM API napříč poskytovateli (rozhraníMI API Pro Microsoft Graph i rozhraní ARM API) se řídí stejnými principy.

Správa přiřazení

Pokud chcete vytvořit přiřazení (aktivní nebo způsobilé), prodloužit nebo prodloužit aktualizaci přiřazení (aktivní nebo způsobilé), aktivovat oprávněné přiřazení, deaktivovat oprávněné přiřazení, použít zdroje *PřiřazeníScheduleRequest a *EligibilityScheduleRequest:

Pro Microsoft Entra role: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
Prostředky Azure: Žádost o plán přiřazení role, Žádost o plán způsobilosti role;
Pro skupiny: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.

Vytvoření objektů *AssignmentScheduleRequest nebo *EligibilityScheduleRequest může vést k vytvoření objektů *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance a *EligibilityScheduleInstance jen pro čtení.

*Objekty AssignmentSchedule a *EligibilitySchedule zobrazují aktuální přiřazení a žádosti o přiřazení, která se mají vytvořit v budoucnu.
*Objekty AssignmentScheduleInstance a *EligibilityScheduleInstance zobrazují pouze aktuální přiřazení.

Po aktivaci oprávněného přiřazení (volání Create*AssignmentScheduleRequest ) nadále existuje *EligibilityScheduleInstance , po tuto aktivovanou dobu se vytvoří nové objekty *AssignmentScheduleInstance a *AssignmentScheduleInstance .

Další informace o rozhraních API pro přiřazení a aktivaci najdete v tématu ROZHRANÍ PIM API pro správu přiřazení rolí a eligibility.

Zásady PIM (nastavení role)

Ke správě zásad PIM použijte entity *roleManagementPolicy a *roleManagementPolicyAssignment :

Pro PIM pro role Microsoft Entra, PIM pro Skupiny: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
Pro PIM pro prostředky Azure: Zásady správy rolí, Přiřazení zásad správy rolí

Prostředek *roleManagementPolicy zahrnuje pravidla, která tvoří zásady PIM: požadavky na schválení, maximální dobu trvání aktivace, nastavení oznámení atd.

Objekt *roleManagementPolicyAssignment připojí zásadu ke konkrétní roli.

Další informace o rozhraních API pro nastavení zásad najdete v tématu Nastavení rolí a PIM.

Oprávnění

PIM pro role Microsoft Entra

Informace o Graph API oprávněních vyžadovaných pro PIM pro Microsoft Entra role najdete v tématu Oprávnění ke správě rolí.

PIM pro prostředky Azure

Rozhraní API PIM pro role prostředků Azure se vyvíjí nad rámec Azure Resource Manager. Budete muset udělit souhlas se správou prostředků Azure, ale nebudete potřebovat žádné oprávnění Microsoft Graph API. Budete také muset zajistit, aby uživatel nebo instanční objekt volající rozhraní API měli u prostředku, který se pokoušíte spravovat, alespoň roli vlastníka nebo správce přístupu uživatelů.

PIM pro skupiny

Graph API oprávnění vyžadovaná pro PIM pro skupiny najdete v tématu PIM pro skupiny – oprávnění a oprávnění.

Vztah mezi entitami PIM a entitami přiřazení rolí

Jediným propojením mezi entitou PIM a entitou přiřazení role pro trvalé (aktivní) přiřazení pro role Microsoft Entra nebo role Azure je *AssignmentScheduleInstance. Mezi těmito dvěma entitami je mapování 1:1. Toto mapování znamená, že roleAssignment a *AssignmentScheduleInstance budou zahrnovat:

Trvalá (aktivní) přiřazení provedená mimo PIM
Trvalá (aktivní) přiřazení s plánem vytvořeným v PIM
Aktivovaná oprávněná přiřazení

Vlastnosti specifické pro PIM (například koncový čas) budou k dispozici pouze prostřednictvím objektu *AssignmentScheduleInstance .

Další kroky

Referenční informace k rozhraní MICROSOFT ENTRA PRIVILEGED IDENTITY MANAGEMENT API