Tipo de recurso unifiedRolePermission

  • Artículo

Espacio de nombres: microsoft.graph

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Representa una colección de acciones de recursos permitidas y las condiciones que se deben cumplir para que la acción sea efectiva. Las acciones de recursos son tareas que se pueden realizar en un recurso. Por ejemplo, el recurso de aplicación admite acciones de recursos de creación, actualización, eliminación y restablecimiento de contraseña.

Propiedades

Propiedad Tipo Descripción
allowedResourceActions Colección string Conjunto de tareas que se pueden realizar en un recurso.
Condición Cadena Restricciones opcionales que deben cumplirse para que el permiso sea efectivo. No se admite para roles personalizados.

allowedResourceActions (propiedad)

El siguiente es el esquema para las acciones de recursos:

{Namespace}/{Entity}/{PropertySet}/{Action}

Por ejemplo: microsoft.directory/applications/credentials/update.

  • {Espacio de nombres} : los servicios que exponen la tarea. Por ejemplo, todas las tareas de Microsoft Entra ID usan el espacio de nombres microsoft.directory.
  • {Entity} : características lógicas o componentes expuestos por el servicio en Microsoft Graph. Por ejemplo, applications, servicePrincipals o groups.
  • {PropertySet} : opcional. Propiedades o aspectos específicos de la entidad para la que se concede acceso. Por ejemplo, microsoft.directory/applications/authentication/read concede la capacidad de leer la dirección URL de respuesta, la dirección URL de cierre de sesión y la propiedad de flujo implícita en el objeto de aplicación de Microsoft Entra ID. Los siguientes son nombres reservados para conjuntos de propiedades comunes:
    • allProperties : designa todas las propiedades de la entidad, incluidas las propiedades con privilegios. Algunos ejemplos son microsoft.directory/applications/allProperties/read y microsoft.directory/applications/allProperties/update.
    • basic : designa propiedades de lectura comunes, pero excluye las con privilegios. Por ejemplo, microsoft.directory/applications/basic/update incluye la capacidad de actualizar propiedades estándar, como el nombre para mostrar.
    • standard : designa propiedades de actualización comunes, pero excluye las con privilegios. Por ejemplo, microsoft.directory/applications/standard/read.
  • {Actions}: las operaciones que se conceden. En la mayoría de los casos, los permisos deben expresarse en términos de operaciones CRUD o allTasks. Las acciones incluyen:
    • create : la capacidad de crear una nueva instancia de la entidad.
    • read - La capacidad de leer un conjunto de propiedades determinado (incluidas todas laspropiedades).
    • update - La capacidad de actualizar un conjunto de propiedades determinado (incluidas todas laspropiedades).
    • delete - La capacidad de eliminar una entidad determinada.
    • allTasks : representa todas las operaciones CRUD (crear, leer, actualizar y eliminar).

condition (propiedad)

Las condiciones definen las restricciones que se deben cumplir. Por ejemplo, un requisito de que la entidad de seguridad sea un "propietario" del destino. A continuación se muestran las condiciones admitidas:

  • Sí mismo: "$ResourceIsSelf"
  • Propietario: "$SubjectIsOwner"

A continuación se muestra un ejemplo de un permiso de rol con una condición.

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "$SubjectIsOwner"
        }
    ]

Las condiciones no se admiten para roles personalizados.

Representación JSON

Esta es una representación JSON del recurso.

{
  "allowedResourceActions": ["String"],
  "condition": "String"
}

Contenido relacionado