Comentários Editar

Tipo de recurso unifiedRolePermission

  • Artigo
  • 2 minutos para o fim da leitura

Namespace: microsoft.graph

Representa uma coleção de ações de recurso permitidas e as condições que devem ser atendidas para que a ação seja permitida. As ações de recurso são tarefas que podem ser executadas em um recurso. Por exemplo, um recurso de aplicativo pode dar suporte a ações de criação, atualização, exclusão e redefinição de senha.

Propriedades

Propriedade Tipo Descrição
allowedResourceActions String collection Conjunto de tarefas que podem ser executadas em um recurso. Obrigatório.
Condição String Restrições opcionais que devem ser atendidas para que a permissão seja efetiva.
excludedResourceActions Coleção de cadeias de caracteres Conjunto de tarefas que podem não ser executadas em um recurso. Ainda não há suporte.

Propriedade allowedResourceActions

A seguir está o esquema para ações de recurso:

{Namespace}/{Entity}/{PropertySet}/{Action}

Por exemplo: microsoft.directory/applications/credentials/update.

  • {Namespace} - Os serviços que expõem a tarefa. Por exemplo, todas as tarefas no Azure Active Directory usam o namespace microsoft.directory.
  • {Entity} - Os recursos lógicos ou componentes expostos pelo serviço no Microsoft Graph. Por exemplo, applications, servicePrincipalsou groups.
  • {PropertySet} - Opcional. As propriedades ou aspectos específicos da entidade para a qual o acesso está sendo concedido. Por exemplo, microsoft.directory/applications/authentication/read concede a capacidade de ler a URL de resposta, a URL de logoff e a propriedade de fluxo implícita no objeto de aplicativo em Azure AD. A seguir estão os nomes reservados para conjuntos de propriedades comuns:
    • allProperties – Designa todas as propriedades da entidade, incluindo propriedades privilegiadas. Os exemplos incluem microsoft.directory/applications/allProperties/read e microsoft.directory/applications/allProperties/update.
    • basic – Designa propriedades de leitura comuns, mas exclui as privilegiadas. Por exemplo, microsoft.directory/applications/basic/update inclui a capacidade de atualizar propriedades padrão, como o nome de exibição.
    • standard – Designa propriedades de atualização comuns, mas exclui as privilegiadas. Por exemplo, microsoft.directory/applications/standard/read.
  • {Actions} - As operações que estão sendo concedidas. Na maioria das circunstâncias, as permissões devem ser expressas em termos de operações CRUD ou allTasks. Ações incluem:
    • create – A capacidade de criar uma nova instância da entidade.
    • read - A capacidade de ler um determinado conjunto de propriedades (incluindo allProperties).
    • update - A capacidade de atualizar um determinado conjunto de propriedades (incluindo allProperties).
    • delete - A capacidade de excluir uma determinada entidade.
    • allTasks - Representa todas as operações CRUD (criar, ler, atualizar e excluir).

propriedade condition

As condições definem restrições que devem ser atendidas. Por exemplo, um requisito de que a entidade de segurança seja um proprietário do recurso de destino. A seguir estão as condições com suporte:

  • Self: "@Subject.objectId == @Resource.objectId"
  • Owner: "@Subject.objectId Any_of @Resource.owners"

A seguir está um exemplo de uma permissão de função com uma condição de que a entidade de segurança seja o proprietário do recurso de destino.

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "@Subject.objectId Any_of @Resource.owners"
        }
    ]

Representação JSON

Veja a seguir uma representação JSON do recurso.

{
  "@odata.type": "#microsoft.graph.unifiedRolePermission",
  "allowedResourceActions": ["String"],
  "excludedResourceActions": ["String"],
  "condition": "String"
}

Confira também