Tipo de recurso unifiedRolePermission
Namespace: microsoft.graph
Representa uma coleção de ações de recurso permitidas e as condições que devem ser atendidas para que a ação seja permitida. As ações de recurso são tarefas que podem ser executadas em um recurso. Por exemplo, um recurso de aplicativo pode dar suporte a ações de criação, atualização, exclusão e redefinição de senha.
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| allowedResourceActions | String collection | Conjunto de tarefas que podem ser executadas em um recurso. Obrigatório. |
| Condição | String | Restrições opcionais que devem ser atendidas para que a permissão seja efetiva. |
| excludedResourceActions | Coleção de cadeias de caracteres | Conjunto de tarefas que podem não ser executadas em um recurso. Ainda não há suporte. |
Propriedade allowedResourceActions
A seguir está o esquema para ações de recurso:
{Namespace}/{Entity}/{PropertySet}/{Action}
Por exemplo: microsoft.directory/applications/credentials/update.
- {Namespace} - Os serviços que expõem a tarefa. Por exemplo, todas as tarefas no Azure Active Directory usam o namespace
microsoft.directory. - {Entity} - Os recursos lógicos ou componentes expostos pelo serviço no Microsoft Graph. Por exemplo,
applications,servicePrincipalsougroups. - {PropertySet} - Opcional. As propriedades ou aspectos específicos da entidade para a qual o acesso está sendo concedido. Por exemplo,
microsoft.directory/applications/authentication/readconcede a capacidade de ler a URL de resposta, a URL de logoff e a propriedade de fluxo implícita no objeto de aplicativo em Azure AD. A seguir estão os nomes reservados para conjuntos de propriedades comuns:allProperties– Designa todas as propriedades da entidade, incluindo propriedades privilegiadas. Os exemplos incluemmicrosoft.directory/applications/allProperties/reademicrosoft.directory/applications/allProperties/update.basic– Designa propriedades de leitura comuns, mas exclui as privilegiadas. Por exemplo,microsoft.directory/applications/basic/updateinclui a capacidade de atualizar propriedades padrão, como o nome de exibição.standard– Designa propriedades de atualização comuns, mas exclui as privilegiadas. Por exemplo,microsoft.directory/applications/standard/read.
- {Actions} - As operações que estão sendo concedidas. Na maioria das circunstâncias, as permissões devem ser expressas em termos de operações CRUD ou
allTasks. Ações incluem:create– A capacidade de criar uma nova instância da entidade.read- A capacidade de ler um determinado conjunto de propriedades (incluindo allProperties).update- A capacidade de atualizar um determinado conjunto de propriedades (incluindo allProperties).delete- A capacidade de excluir uma determinada entidade.allTasks- Representa todas as operações CRUD (criar, ler, atualizar e excluir).
propriedade condition
As condições definem restrições que devem ser atendidas. Por exemplo, um requisito de que a entidade de segurança seja um proprietário do recurso de destino. A seguir estão as condições com suporte:
Self: "@Subject.objectId == @Resource.objectId"Owner: "@Subject.objectId Any_of @Resource.owners"
A seguir está um exemplo de uma permissão de função com uma condição de que a entidade de segurança seja o proprietário do recurso de destino.
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "@Subject.objectId Any_of @Resource.owners"
}
]
Representação JSON
Veja a seguir uma representação JSON do recurso.
{
"@odata.type": "#microsoft.graph.unifiedRolePermission",
"allowedResourceActions": ["String"],
"excludedResourceActions": ["String"],
"condition": "String"
}
Confira também
- Permissões de função de administrador no Azure Active Directory – para obter informações sobre permissões para funções de diretório internas.
- Subtipos e permissões de registro de aplicativo no Azure Active Directory – para obter informações sobre permissões disponíveis para funções de diretório personalizadas.
Comentários
Enviar e exibir comentários de