Crear federatedIdentityCredential

  • Artículo

Espacio de nombres: microsoft.graph

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Cree un nuevo objeto federatedIdentityCredential para una aplicación. Al configurar una relación de confianza entre el registro de aplicaciones de Microsoft Entra y el proveedor de identidades de la plataforma de proceso, puede usar los tokens emitidos por esa plataforma para autenticarse con Plataforma de identidad de Microsoft y llamar a las API en el ecosistema de Microsoft. Se pueden agregar un máximo de 20 objetos a una aplicación.

Esta API está disponible en las siguientes implementaciones nacionales de nube.

Servicio global Gobierno de EE. UU. L4 Us Government L5 (DOD) China operada por 21Vianet

Permissions

Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.

Tipo de permiso Permisos con privilegios mínimos Permisos con privilegios más altos
Delegado (cuenta profesional o educativa) Application.ReadWrite.All No disponible.
Delegado (cuenta personal de Microsoft) Application.ReadWrite.All No disponible.
Aplicación Application.ReadWrite.OwnedBy Application.ReadWrite.All

Solicitud HTTP

Puede dirigirse a la aplicación mediante su id . o appId. id y appId se conocen como id. de objeto y id. de aplicación (cliente), respectivamente, en los registros de aplicaciones en el Centro de administración Microsoft Entra.

POST /applications/{id}/federatedIdentityCredentials
POST /applications(appId='{appId}')/federatedIdentityCredentials

Encabezados de solicitud

Nombre Descripción
Authorization {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización.
Content-Type application/json. Obligatorio.

Cuerpo de la solicitud

En el cuerpo de la solicitud, proporcione una representación JSON del objeto federatedIdentityCredential .

En la tabla siguiente se enumeran las propiedades necesarias al crear federatedIdentityCredential.

Propiedad Tipo Descripción
Audiencias Colección de cadenas Audiencia que puede aparecer en el token externo. Este campo es obligatorio y debe establecerse en api://AzureADTokenExchange para Microsoft Entra ID. Indica qué Plataforma de identidad de Microsoft debe aceptar en la aud notificación del token entrante. Este valor representa Microsoft Entra ID en el proveedor de identidades externo y no tiene ningún valor fijo entre los proveedores de identidades; es posible que tenga que crear un nuevo registro de aplicación en el proveedor de identidades para que sirva como audiencia de este token. Este campo solo puede aceptar un valor único y tiene un límite de 600 caracteres. Obligatorio.
Emisor Cadena TLa dirección URL del proveedor de identidades externo y debe coincidir con la notificación del emisor del token externo que se está intercambiando. La combinación de los valores de emisor y asunto debe ser única en la aplicación. Tiene un límite de 600 caracteres. Obligatorio.
name Cadena Identificador único de la credencial de identidad federada, que tiene un límite de 120 caracteres y debe ser descriptivo para la dirección URL. Es inmutable una vez creado
subject Cadena Obligatorio. Identificador de la carga de trabajo de software externo dentro del proveedor de identidades externo. Al igual que el valor de audiencia, no tiene ningún formato fijo, ya que cada proveedor de identidades usa su propio guid, a veces un identificador delimitado por dos puntos y, a veces, cadenas arbitrarias. El valor aquí debe coincidir con la notificación secundaria dentro del token presentado a Microsoft Entra ID. Tiene un límite de 600 caracteres. La combinación del emisor y el asunto debe ser única en la aplicación.

Respuesta

Si se ejecuta correctamente, este método devuelve un 201 Created código de respuesta y un objeto federatedIdentityCredential en el cuerpo de la respuesta.

Ejemplos

Solicitud

POST https://graph.microsoft.com/beta/applications/bcd7c908-1c4d-4d48-93ee-ff38349a75c8/federatedIdentityCredentials/
Content-Type: application/json

{
    "name": "testing02",
    "issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
    "subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Respuesta

Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#applications('bcd7c908-1c4d-4d48-93ee-ff38349a75c8')/federatedIdentityCredentials/$entity",
    "@odata.id": "https://graph.microsoft.com/v2/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/directoryObjects/$/Microsoft.DirectoryServices.Application('bcd7c908-1c4d-4d48-93ee-ff38349a75c8')/federatedIdentityCredentials/d9b7bf1e-429e-4678-8132-9b00c9846cc4",
    "id": "d9b7bf1e-429e-4678-8132-9b00c9846cc4",
    "name": "testing02",
    "issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
    "subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
    "description": null,
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}