unifiedRolePermission-Ressourcentyp

Namespace: microsoft.graph

Stellt eine Auflistung zulässiger Ressourcenaktionen und die Bedingungen dar, die erfüllt sein müssen, damit die Aktion zulässig ist. Ressourcenaktionen sind Vorgänge, die für eine Ressource ausgeführt werden können. Eine Anwendungsressource unterstützt beispielsweise das Erstellen, Aktualisieren, Löschen und Zurücksetzen von Kennwortaktionen.

Eigenschaften

Eigenschaft	Typ	Beschreibung
allowedResourceActions	Zeichenfolgenauflistung	Eine Reihe von Vorgängen, die für eine Ressource ausgeführt werden können. Erforderlich.
Zustand	Zeichenfolge	Optionale Einschränkungen, die erfüllt sein müssen, damit die Berechtigung wirksam ist.
excludedResourceActions	Zeichenfolgensammlung	Gruppe von Vorgängen, die für eine Ressource möglicherweise nicht ausgeführt werden. Noch nicht unterstützt.

allowedResourceActions-Eigenschaft

Es folgt das Schema für Ressourcenaktionen:

{Namespace}/{Entity}/{PropertySet}/{Action}  

Zum Beispiel: microsoft.directory/applications/credentials/update.

• {Namespace} – Die Dienste, die die Aufgabe verfügbar machen. Beispielsweise verwenden alle Aufgaben in Azure Active Directory den Namespace microsoft.directory.
• {Entity} – Die logischen Features oder Komponenten, die vom Dienst in Microsoft Graph verfügbar gemacht werden. Beispiel: applications, servicePrincipalsoder groups.
• {PropertySet} – Optional. Die spezifischen Eigenschaften oder Aspekte der Entität, für die der Zugriff gewährt wird. Ermöglicht beispielsweise das microsoft.directory/applications/authentication/read Lesen der Antwort-URL, der Abmelde-URL und der impliziten Flusseigenschaft für das Anwendungsobjekt in Azure AD. Es folgen reservierte Namen für allgemeine Eigenschaftensätze:
  • allProperties – Bestimmt alle Eigenschaften der Entität, einschließlich privilegierter Eigenschaften. Beispiele sind und microsoft.directory/applications/allProperties/read microsoft.directory/applications/allProperties/update.
  • basic – Bestimmt allgemeine Leseeigenschaften, schließt jedoch privilegierte Eigenschaften aus. Umfasst z. B microsoft.directory/applications/basic/update . die Möglichkeit, Standardeigenschaften wie den Anzeigenamen zu aktualisieren.
  • standard – Bezeichnet allgemeine Updateeigenschaften, schließt jedoch privilegierte Eigenschaften aus. Beispiel: microsoft.directory/applications/standard/read.
• {Actions} – Die vorgänge, die gewährt werden. In den meisten Fällen sollten Berechtigungen in Form von CRUD-Vorgängen oder allTasksausgedrückt werden. Zu den Aktionen zählen:
  • create - Die Möglichkeit, eine neue Instanz der Entität zu erstellen.
  • read – Die Möglichkeit zum Lesen eines bestimmten Eigenschaftensatzes (einschließlich allProperties).
  • update – Die Möglichkeit zum Aktualisieren eines bestimmten Eigenschaftensatzes (einschließlich allProperties).
  • delete - Die Möglichkeit, eine bestimmte Entität zu löschen.
  • allTasks – Stellt alle CRUD-Vorgänge dar (Erstellen, Lesen, Aktualisieren und Löschen).

condition-Eigenschaft

Bedingungen definieren Einschränkungen, die erfüllt werden müssen. Beispielsweise eine Anforderung, dass der Prinzipal ein Besitzer der Zielressource ist. Die folgenden Bedingungen werden unterstützt:

• Self: "@Subject.objectId == @Resource.objectId"
• Owner: "@Subject.objectId Any_of @Resource.owners"

Im Folgenden sehen Sie ein Beispiel für eine Rollenberechtigung mit einer Bedingung, dass der Prinzipal der Besitzer der Zielressource ist.

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "@Subject.objectId Any_of @Resource.owners"
        }
    ]

JSON-Darstellung

Es folgt eine JSON-Darstellung der Ressource.

{
  "@odata.type": "#microsoft.graph.unifiedRolePermission",
  "allowedResourceActions": ["String"],
  "excludedResourceActions": ["String"],
  "condition": "String"
}

Siehe auch

• Administratorrollenberechtigungen in Azure Active Directory – Informationen zu Berechtigungen für integrierte Verzeichnisrollen.
• Anwendungsregistrierungsuntertypen und Berechtigungen in Azure Active Directory – Informationen zu Berechtigungen, die für benutzerdefinierte Verzeichnisrollen verfügbar sind.