Interfejsy API usługi Privileged Identity Management

Usługa Privileged Identity Management (PIM), część firmy Microsoft Entra, obejmuje trzech dostawców:

• Usługa PIM dla ról entra firmy Microsoft
• Usługa PIM dla zasobów platformy Azure
• Usługa PIM dla grup

Przy użyciu interfejsu API programu Microsoft Graph można zarządzać przypisaniami w usłudze PIM dla ról firmy Microsoft i usługi PIM dla grup. Przy użyciu interfejsu API usługi Azure Resource Manager (ARM) można zarządzać przypisaniami w usłudze PIM dla zasobów platformy Azure. W tym artykule opisano ważne pojęcia dotyczące używania interfejsów API usługi Privileged Identity Management.

Więcej informacji na temat interfejsów API, które umożliwiają zarządzanie przypisaniami w dokumentacji:

• Dokumentacja interfejsu API usługi PIM for Microsoft Entra roles
• Dokumentacja interfejsu API usługi PIM dla ról zasobów platformy Azure
• Dokumentacja interfejsu API usługi PIM dla grup
• Dokumentacja interfejsu API ról usługi PIM dla firmy Microsoft
• Dokumentacja interfejsu API usługi PIM dla zasobów platformy Azure

Historia interfejsu API usługi PIM

W ciągu ostatnich kilku lat istnieje kilka iteracji interfejsu API PIM. Niektóre funkcje nakładają się na siebie, ale nie reprezentują one liniowego postępu wersji.

Iteracja 1 — przestarzała

W punkcie końcowym /beta/privilegedRoles firma Microsoft miała klasyczną wersję interfejsu API PIM, która obsługuje tylko role Microsoft Entra i nie jest już obsługiwana. Dostęp do tego interfejsu API został wycofany w czerwcu 2021 r.

Iteracja 2 — obsługuje role entra firmy Microsoft i role zasobów platformy Azure

W obszarze punktu końcowego /beta/privilegedAccess firma Microsoft obsługuje zarówno elementy , jak /aadRoles i /azureResources. Ten punkt końcowy jest nadal dostępny w dzierżawie, ale firma Microsoft zaleca rozpoczęcie dowolnego nowego programowania za pomocą tego interfejsu API. Ten interfejs API w wersji beta nigdy nie zostanie wydany do ogólnej dostępności i zostanie ostatecznie przestarzały.

Iteracja 3 (bieżąca) — usługa PIM dla ról firmy Microsoft Entra, grup w interfejsie MICROSOFT Graph API i zasobów platformy Azure w interfejsie API usługi ARM

Jest to ostatnia iteracja interfejsu API USŁUGI PIM. Zawartość:

• Usługa PIM dla ról firmy Microsoft Entra w interfejsie MICROSOFT Graph API — ogólnie dostępna.
• Usługa PIM dla zasobów platformy Azure w interfejsie API usługi ARM — ogólnie dostępna.
• Usługa PIM dla grup w interfejsie Microsoft Graph API — wersja zapoznawcza.
• Alerty usługi PIM dla ról firmy Microsoft Entra w interfejsie API programu Microsoft Graph — wersja zapoznawcza.
• Alerty usługi PIM dla zasobów platformy Azure w interfejsie API usługi ARM — wersja zapoznawcza.

Posiadanie ról usługi PIM dla firmy Microsoft Entra w interfejsie MICROSOFT Graph API i usłudze PIM dla zasobów platformy Azure w interfejsie API usługi ARM zapewnia kilka korzyści, takich jak:

• Dostosowanie interfejsu API USŁUGI PIM dla zwykłego interfejsu API przypisywania ról dla ról firmy Microsoft Entra i ról zasobów platformy Azure.
• Zmniejszenie konieczności wywołania dodatkowego interfejsu API usługi PIM w celu dołączenia zasobu, pobrania zasobu lub pobrania definicji roli.
• Obsługa uprawnień tylko do aplikacji.
• Nowe funkcje, takie jak zatwierdzenie i konfiguracja powiadomień e-mail.

Omówienie iteracji interfejsu API usługi PIM 3

Interfejsy API usługi PIM między dostawcami (interfejsy API programu Microsoft Graph i interfejsy API usługi ARM) są zgodne z tymi samymi zasadami.

Zarządzanie przydziałami

Aby utworzyć przypisanie (aktywne lub kwalifikujące się), odnowić, rozszerzyć przydział aktualizacji (aktywny lub uprawniony), aktywować kwalifikujące się przypisanie, dezaktywować kwalifikujące się przypisanie, użyć zasobów *PrzypisaniaScheduleRequest i *UprawnieniaScheduleRequest:

• W przypadku ról entra firmy Microsoft: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
• W przypadku zasobów platformy Azure: żądanie harmonogramu przypisania roli, żądanie harmonogramu uprawnień roli;
• W przypadku grup: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.

Tworzenie obiektów *AssignmentScheduleRequest lub *EligibilityScheduleRequest może prowadzić do utworzenia obiektów tylko do odczytu *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance i *EligibilityScheduleInstance.

• *AssignmentSchedule i *EligibilitySchedule obiekty pokazują bieżące przypisania i żądania utworzenia przypisań w przyszłości.
• *PrzypisaniaScheduleInstance i *UprawnieniaScheduleInstance obiekty pokazują tylko bieżące przypisania.

Po aktywowaniu kwalifikującego się przypisania (wywołano polecenie Create*AssignmentScheduleRequest), dla tego aktywowanego czasu trwania będą nadal istnieć *UprawnieniaScheduleInstance, nowe *PrzypisaniaSchedule i obiekty *AssignmentScheduleInstance.

Aby uzyskać więcej informacji na temat interfejsów API przypisywania i aktywacji, zobacz Interfejs API usługi PIM do zarządzania przypisaniami ról i uprawnieniami.

Zasady usługi PIM (ustawienia roli)

Aby zarządzać zasadami usługi PIM, użyj jednostek *roleManagementPolicy i *roleManagementPolicyAssignment:

• W przypadku ról usługi PIM dla firmy Microsoft Entra usługa PIM dla grup: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
• W przypadku usługi PIM dla zasobów platformy Azure: zasady zarządzania rolami, przypisania zasad zarządzania rolami

Zasób *roleManagementPolicy zawiera reguły, które składają się na zasady PIM: wymagania dotyczące zatwierdzania, maksymalny czas trwania aktywacji, ustawienia powiadomień itp.

Obiekt *roleManagementPolicyAssignment dołącza zasady do określonej roli.

Aby uzyskać więcej informacji na temat interfejsów API ustawień zasad, zobacz Ustawienia ról i usługa PIM.

Uprawnienia

Usługa PIM dla ról entra firmy Microsoft

Aby uzyskać uprawnienia interfejsu API programu Graph wymagane dla usługi PIM dla ról firmy Microsoft Entra, zobacz Uprawnienia do zarządzania rolami.

Usługa PIM dla zasobów platformy Azure

Interfejs API usługi PIM dla ról zasobów platformy Azure został opracowany na podstawie struktury usługi Azure Resource Manager. Musisz wyrazić zgodę na usługę Azure Resource Management, ale nie potrzebujesz żadnych uprawnień interfejsu API programu Microsoft Graph. Należy również upewnić się, że użytkownik lub jednostka usługi wywołująca interfejs API ma co najmniej rolę Właściciel lub Dostęp użytkowników Administracja istrator w zasobie, który próbujesz administrować.

Usługa PIM dla grup

Aby uzyskać uprawnienia interfejsu API programu Graph wymagane dla usługi PIM dla grup, zobacz PIM for Groups — Permissions and permissions (Usługa PIM dla grup — uprawnienia i uprawnienia).

Relacja między jednostkami usługi PIM a jednostkami przypisania roli

Jedynym linkiem między jednostką PIM a jednostką przypisania roli dla trwałych (aktywnych) przypisań ról firmy Microsoft lub ról platformy Azure jest *AssignmentScheduleInstance. Istnieje mapowanie jeden do jednego między dwiema jednostkami. To mapowanie oznacza, że atrybut roleAssignment i *AssignmentScheduleInstance będą obejmować:

• Trwałe (aktywne) przypisania wykonywane poza usługą PIM
• Trwałe (aktywne) przypisania z harmonogramem wykonanym wewnątrz usługi PIM
• Aktywowane kwalifikujące się przypisania

Właściwości specyficzne dla usługi PIM (takie jak godzina zakończenia) będą dostępne tylko za pośrednictwem obiektu *AssignmentScheduleInstance .

Następne kroki

• Dokumentacja interfejsu API usługi Microsoft Entra Privileged Identity Management