Тип ресурса servicePrincipal
Пространство имен: microsoft.graph
Важно!
API версии /beta
в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Представляет экземпляр приложения в каталоге. Наследуется от directoryObject.
Этот ресурс поддерживает отслеживание добавлений, удалений и обновлений с помощью разностного запроса с функцией delta. Этот ресурс относится к открытому типу, который позволяет передавать другие свойства.
Методы
Метод | Возвращаемый тип | Описание |
---|---|---|
Перечисление servicePrincipals | Коллекция servicePrincipal | Получение списка объектов servicePrincipal. |
Создать servicePrincipal | servicePrincipal | Создание нового объекта servicePrincipal. |
Получение объекта servicePrincipal | servicePrincipal | Чтение свойств и связей объекта servicePrincipal. |
Обновить servicePrincipal | Нет | Обновление объекта servicePrincipal. |
Upsert servicePrincipal | servicePrincipal | Создайте новый servicePrincipal, если он не существует, или обновите свойства существующего servicePrincipal. |
Удалить servicePrincipal | Нет | Удаление объекта servicePrincipal. |
Список удаленных servicePrincipals | Коллекция directoryObject | Извлечение списка недавно удаленных объектов servicePrincipal. |
Получение удаленного servicePrincipal | directoryObject | Извлечение свойств недавно удаленного объекта servicePrincipal. |
Окончательное удаление servicePrincipal | Нет | Окончательное удаление объекта servicePrincipal. |
Восстановление удаленного servicePrincipal | directoryObject | Восстановление недавно удаленного объекта servicePrincipal. |
Перечисление createdObjects | Коллекция directoryObject | Получение коллекции объектов createdObject. |
Список ownedObjects | Коллекция directoryObject | Получение коллекции объектов ownedObject. |
delta | Коллекция servicePrincipal | Получение добавочных изменений для субъектов-служб. |
Создание remoteDesktopSecurityConfiguration | remoteDesktopSecurityConfiguration | Создайте объект remoteDesktopSecurityConfiguration в servicePrincipal. |
Получение remoteDesktopSecurityConfiguration | remoteDesktopSecurityConfiguration | Получите объект remoteDesktopSecurityConfiguration в servicePrincipal. |
Удаление remoteDesktopSecurityConfiguration | Нет | Удалите объект remoteDesktopSecurityConfiguration в servicePrincipal. |
Назначение ролей приложений | ||
Перечисление appRoleAssignments | Коллекция appRoleAssignment | Получите роли приложения, назначенные этому субъекту-службе. |
Добавление объекта appRoleAssignment | appRoleAssignment | Назначение роли приложения субъекту-службе. |
Удаление объекта appRoleAssignment | Нет | Удаление назначения роли приложения субъекта-службы. |
List appRoleAssignedTo | Коллекция appRoleAssignment | Создание пользователей, ролей и назначенных ролей приложений для этого субъекта-службы. |
Add appRoleAssignedTo | appRoleAssignment | Назначение роли для этого субъекта-службы пользователю, группе или субъекту-службе. |
Remove appRoleAssignedTo | Нет | Удаление назначенной роли этого субъекта-службы у пользователя, группы или субъекта-службы. |
Сертификаты и секреты | ||
Добавление пароля | passwordCredential | Добавление стойкого пароля или секрета в servicePrincipal. |
Добавление tokenSigningCertificate | selfSignedCertificate | Добавление самозаверяющего сертификата в субъект-службу. В основном используется для настройки приложений единого входа на основе SAML из коллекции Microsoft Entra. |
Удаление пароля | passwordCredential | Удаление пароля или секрета из servicePrincipal. |
Добавление ключа | keyCredential | Добавление учетных данных ключа объекту servicePrincipal. |
Удаление ключа | Нет | Удаление учетных данных ключа объекта servicePrincipal. |
Классификация делегированных разрешений | ||
Список классификации делегированных разрешений | Коллекция delegatedPermissionClassification | Получение классификаций для делегированных разрешений, предоставленных этим субъектом-службой. |
Добавление классификации делегированных разрешений | delegatedPermissionClassification | Добавление классификации для делегированных разрешений, предоставленных этим субъектом-службой. |
Удаление классификации делегированных разрешений | Нет | Удаление классификации для делегированных разрешений, предоставленных этим субъектом-службой. |
Предоставление делегированных разрешений | ||
Перечисление oauth2PermissionGrants | Коллекция oAuth2PermissionGrant | Получите предоставление делегированных разрешений, предоставляющих этому объекту-службе доступ к API от имени пользователя, вошедшего в систему. |
Членство. | ||
Перечисление memberOf | Коллекция directoryObject | Получение групп, непосредственным участником которых является субъект-служба, из свойства навигации memberOf. |
Перечисление транзитивных свойств memberOf | Коллекция directoryObject | Перечисление групп, в которых участвует субъект-служба. Эта операция является транзитивной и включает группы, в которых состоит субъект-служба. |
checkMemberGroups | Коллекция String | Проверка участия в указанном списке групп. |
checkMemberObjects | Коллекция String | Проверка участия в указанном списке групп, ролях каталога или объектах административных единиц. |
getMemberGroups | Коллекция String | Список групп, в которых участвует субъект-служба. |
getMemberObjects | Коллекция String | Получение списка групп, административных единиц и ролей каталога, в которых состоит субъект-служба. |
Владельцы | ||
Список владельцев | Коллекция directoryObject | Получение владельцев субъекта-службы. |
Добавление владельца | directoryObject | Назначьте владельца субъекту-службе. Владельцами субъекта-службы могут быть пользователи или другие субъекты-службы. |
Удаление владельца | Нет | Удаление владельца из субъекта-службы. Рекомендуется, чтобы субъекты-службы имели по крайней мере двух владельцев. |
Политики | ||
Назначение типа ресурса claimsMappingPolicy | Коллекция claimsMappingPolicy | Назначение типа ресурса claimsMappingPolicy объекту. |
Перечисление типов ресурсов claimsMappingPolicy | Коллекция claimsMappingPolicy | Получение всех типов ресурсов claimsMappingPolicy, назначенных объекту. |
Удаление типа ресурса claimsMappingPolicy | Коллекция claimsMappingPolicy | Удаление claimsMappingPolicy этого объекта. |
Назначение типа ресурса homeRealmDiscoveryPolicy | Коллекция homeRealmDiscoveryPolicy | Назначение типа ресурса homeRealmDiscoveryPolicy объекту. |
Перечисление типов ресурсов homeRealmDiscoveryPolicy | Коллекция homeRealmDiscoveryPolicy | Получение всех типов ресурсов homeRealmDiscoveryPolicy, назначенных объекту. |
Удаление типа ресурса homeRealmDiscoveryPolicy | Коллекция homeRealmDiscoveryPolicy | Удаление типа ресурса homeRealmDiscoveryPolicy из объекта. |
Назначить tokenIssuancePolicy | tokenIssuancePolicy Коллекция | Присвойте tokenIssuancePolicy этому объекту. |
Перечислить tokenIssuancePolicies | tokenIssuancePolicy Коллекция | Назначьте все tokenIssuancePolicies этому объекту. |
Убрать tokenIssuancePolicy | tokenIssuancePolicy Коллекция | Удалите tokenIssuancePolicy из этого объекта. |
Назначение типа ресурса tokenLifetimePolicy | Коллекция tokenLifetimePolicy | Назначение типа ресурса tokenLifetimePolicy объекту. |
Перечисление типов ресурсов tokenLifetimePolicy | Коллекция tokenLifetimePolicy | Получение всех типов ресурсов tokenLifetimePolicies, назначенных объекту. |
Удаление типа ресурса tokenLifetimePolicy | Коллекция tokenLifetimePolicy | Удаление типа ресурса tokenLifetimePolicy из объекта. |
List permissionGrantPreApprovalPolicy | коллекция permissionGrantPreApprovalPolicy | Получите разрешениеGrantPreApprovalPolicy, назначенное этому объекту. |
Назначение permissionGrantPreApprovalPolicy | коллекция permissionGrantPreApprovalPolicy | Назначьте этому объекту permissionGrantPreApprovalPolicy. |
Удаление permissionGrantPreApprovalPolicy | коллекция permissionGrantPreApprovalPolicy | Удалите permissionGrantPreApprovalPolicy из этого объекта. |
Единый вход | ||
createPasswordSingleSignOnCredentials | passwordSingleSignOnCredentialSet | Создание набора учетных данных для пользователя или группы, указанных в основном тексте. |
getPasswordSingleSignOnCredentials | passwordSingleSignOnCredentialSet | Получение набора учетных данных для пользователя или группы, указанных в основном тексте. |
updatePasswordSingleSignOnCredentials | Нет | Обновление набора учетных данных для пользователя или группы, указанных в основном тексте. |
deletePasswordSingleSignOnCredentials | Нет | Удаление набора учетных данных для пользователя или группы, указанных в основном тексте. |
Свойства
Важно!
Определенное использование $filter
и параметра запроса $search
поддерживается только при применении заголовка ConsistencyLevel с присвоенным значением eventual
и $count
. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.
Свойство | Тип | Описание |
---|---|---|
accountEnabled | Логический | Значение true , если учетная запись субъекта-службы включена. В противном случае используется значение false . Если задано значение false , пользователи не смогут войти в это приложение, даже если они назначены ему. Поддерживает $filter (eq , ne , not , in ). |
addIns | Коллекция addIn | Определяет пользовательское поведение, которое служба может использовать для вызова приложения в определенных контекстах. Например, приложения, которые способны визуализировать файловые потоки, могут установить свойство addIns для его функции "FileHandler". Это позволяет таким службам, как Microsoft 365, вызывать приложение в контексте документа, над которым работает пользователь. |
alternativeNames | Коллекция строк | Используется для получения субъектов-служб по подписке, идентификации групп ресурсов и полных идентификаторов ресурсов для управляемых удостоверений. Поддерживает $filter (eq , not , ge , le , startsWith ). |
appDescription | Строка | Описание, предоставляемое связанным приложением. |
appDisplayName | String | Отображаемое имя, предоставляемое связанным приложением. |
appId | String | Уникальный идентификатор для связанного приложения (его свойство appId). Альтернативный ключ. Поддерживает $filter (eq , ne , not , in , startsWith ). |
applicationTemplateId | Строка | Уникальный идентификатор applicationTemplate. Поддерживает $filter (eq , not , ne ). Только для чтения. null Значение , если приложение не было создано на основе шаблона приложения. |
appOwnerOrganizationId | Guid | Содержит идентификатор клиента, в котором зарегистрировано приложение. Применимо только для субъектов-служб на основе приложений. Поддерживает $filter (eq , ne , NOT , ge , le ). |
appRoleAssignmentRequired | Boolean | Указывает, нужно ли предоставлять назначение роли пользователям или другим субъектам-службам для этого субъекта-службы, прежде чем пользователи смогут выполнять вход, а приложения — получать маркеры. Значение по умолчанию — false . Значение NULL не допускается. Поддерживает $filter (eq , ne , NOT ). |
appRoles | Коллекция appRole | Роли, предоставляемые приложением, которое представляет этот субъект-служба. Дополнительные сведения см. в определении свойства appRoles для сущности приложения . Значение null не допускается. |
customSecurityAttributes | customSecurityAttributeValue | Открытый сложный тип, который содержит значение настраиваемого атрибута безопасности, назначенного объекту каталога. Допускается значение null. Возвращается только с помощью оператора $select . Поддерживает $filter (eq , ne , not , startsWith ). Значение фильтра учитывает регистр. |
deletedDateTime | DateTimeOffset | Дата и время удаления субъекта-службы. Только для чтения. |
description | String | Поле с произвольным текстом для предоставления внутренним пользователям описания субъекта-службы. На порталах конечных пользователей, таких как MyApps , в этом поле отображается описание приложения. Максимальный допустимый размер — 1024 символа. Поддерживает $filter (eq , ne , not , ge , le , startsWith ) и $search . |
disabledByMicrosoftStatus | Строка | Указывает, отключила ли корпорация Майкрософт зарегистрированное приложение. Возможные значения: null (значение по умолчанию), NotDisabled и DisabledDueToViolationOfServicesAgreement (возможные причины: подозрительные, оскорбительные или вредоносные действия, а также нарушение соглашения об использовании служб Майкрософт). Поддерживает $filter (eq , ne , not ). |
displayName | String | Отображаемое имя для субъекта-службы. Поддерживает $filter (eq , ne , not , ge , le , in , startsWith и eq по null значениям), $search и $orderby . |
errorUrl | Строка | Устарело. Не используйте. |
homepage | String | Главная или начальная страница приложения. |
id | String | Уникальный идентификатор для субъекта-службы. Наследуется от directoryObject. Ключ. Значение null не допускается. Только для чтения. Поддерживает $filter (eq , ne , not , in ). |
info | informationalUrl | Базовые данные профиля для полученного приложения, такие как URL-адреса маркетинга, поддержки, условий обслуживания и заявления о конфиденциальности. Условия обслуживания и заявление о конфиденциальности отображаются в окне запроса согласия пользователя. Дополнительные сведения см. в разделе Практическое руководство. Добавление условий обслуживания и заявления о конфиденциальности для зарегистрированных Microsoft Entra приложений. Поддерживает $filter (eq , ne , not , ge , le и eq для значений null ). |
keyCredentials | Коллекция keyCredential | Коллекция ключевых учетных данных, связанных с субъектом-службой. Значение null не допускается. Поддерживает $filter (eq , not , ge , le ). |
loginUrl | String | Указывает URL-адрес, по которому поставщик услуг перенаправляет пользователя на Microsoft Entra ID для проверки подлинности. Microsoft Entra ID использует URL-адрес для запуска приложения из Microsoft 365 или Microsoft Entra Мои приложения. Если этот параметр не задан, Microsoft Entra ID выполняет вход, инициированный поставщиком удостоверений, для приложений, настроенных с помощью единого входа на основе SAML. Пользователь запускает приложение из Microsoft 365, Microsoft Entra Мои приложения или URL-адреса единого входа Microsoft Entra. |
logoutUrl | String | Указывает URL-адрес, используемый службой авторизации Майкрософт для выхода пользователя с помощью протоколов front-channel, back-channel или SAML. |
notes | String | Поле с произвольным текстом для записи сведений о субъекте-службе, обычно применяемых в рабочих целях. Максимальный допустимый размер — 1024 символа. |
notificationEmailAddresses | Коллекция строк | Указывает список адресов электронной почты, на которые Microsoft Entra ID отправляет уведомление, когда активный сертификат приближается к дате окончания срока действия. Это касается только сертификатов, используемых для подписи маркера SAML, выданного для приложений коллекции Microsoft Entra. |
passwordCredentials | Коллекция passwordCredential | Коллекция учетных данных паролей, связанных с субъектом-службой. Значение null не допускается. |
passwordSingleSignOnSettings | passwordSingleSignOnSettings | Коллекция для параметров, связанных с единым входом с паролем. Для чтения свойства используйте параметр $select=passwordSingleSignOnSettings . Для applicationTemplates предназначено только для чтения, кроме пользовательских объектов applicationTemplates. |
preferredSingleSignOnMode | Строка | Указывает режим единого входа, настроенный для этого приложения. Microsoft Entra ID использует предпочтительный режим единого входа для запуска приложения из Microsoft 365 или Microsoft Entra Мои приложения. Поддерживаемые значения: password , saml , notSupported и oidc . |
permissionGrantPreApprovalPolicies | коллекция permissionGrantPreApprovalPolicy | Список предварительных политик, назначенных субъекту-службе. |
preferredTokenSigningKeyEndDateTime | DateTimeOffset | Указывает дату окончания срока действия keyCredential, использованного для подписи маркера, помеченного с помощью preferredTokenSigningKeyThumbprint. Обновление этого атрибута в настоящее время не поддерживается. Дополнительные сведения см. в разделе Различия свойств ServicePrincipal. |
preferredTokenSigningKeyThumbprint | String | Это свойство можно использовать в приложениях SAML (приложениях, для которых параметр preferredSingleSignOnMode имеет значение saml ) для управления сертификатом, используемым для подписывания ответов SAML. Для приложений, которые не являются SAML, не записывайте это свойство и не полагайтесь на нее иным образом. |
publishedPermissionScopes | Коллекция permissionScope | Делегированные разрешения, предоставляемые приложением. Дополнительные сведения см. в свойстве oauth2PermissionScopes в свойстве API объекта приложения. Значение null не допускается. Примечание. Это свойство называется oauth2PermissionScopes в версии 1.0. |
publisherName | String | Имя клиента Microsoft Entra, который опубликовал приложение. |
replyUrls | Коллекция String | URL-адреса, которым отправляются маркеры пользователей для входа с помощью связанного приложения, или URI перенаправления, которым отправляются коды авторизации OAuth 2.0 и маркеры доступа для связанного приложения. Значение null не допускается. |
samlMetadataUrl | Строка | URL-адрес, по которому служба предоставляет метаданные SAML для федерации. |
samlSingleSignOnSettings | samlSingleSignOnSettings | Коллекция для параметров, связанных с единым входом SAML. |
ServicePrincipalNames | Коллекция объектов string | Содержит список объектов identifiersUris, скопированных из связанного объекта application. В гибридные приложения можно добавить дополнительные значения. Эти значения можно использовать для определения разрешений, предоставляемых этим приложением в Microsoft Entra ID. Пример.
Оператор "any" требуется для выражений фильтров, применяемых к многозначным свойствам. Значение null не допускается. Поддерживает $filter (eq , not , ge , le , startsWith ). |
servicePrincipalType | Строка | Указывает, что представляет субъект-служба: приложение или управляемое удостоверение. Это задается внутренней Microsoft Entra ID. Если субъект-служба представляет приложение, указывается значение Application. Для субъекта-службы, представляющего управляемое удостоверение , задается значение ManagedIdentity. Тип SocialIdp предназначен для внутреннего использования. |
signInAudience | String | Указывает, учетные записи Майкрософт, которые поддерживаются для текущего приложения. Только для чтения. Поддерживаемые значения:
|
tags | Коллекция объектов string | Настраиваемые строки, которые можно использовать для классификации и определения субъекта-службы. Значение null не допускается. Значение представляет собой объединение строк, заданных здесь и в свойстве tags связанной сущности приложения. Поддерживает $filter (eq , not , ge , le , startsWith ). |
tokenEncryptionKeyId | String | Задает значение открытого ключа keyId из коллекции keyCredentials. После настройки Microsoft Entra ID выдает маркеры для этого приложения, зашифрованные с помощью ключа, указанного этим свойством. Код приложения, получающий зашифрованный маркер, должен использовать соответствующий закрытый ключ для расшифровки маркера, прежде чем его можно будет применить для пользователя, выполнившего вход. |
verifiedPublisher | verifiedPublisher | Указывает проверенный издатель приложения, связанного с этим субъектом-службой. |
Связи
Важно!
Конкретное $filter
использование параметра запроса поддерживается только при использовании заголовка ConsistencyLevel и eventual
$count
. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.
Связь | Тип | Описание |
---|---|---|
appManagementPolicies | Коллекция appManagementPolicy | Параметр appManagementPolicy, примененный к этому субъекту-службе. |
appRoleAssignedTo | appRoleAssignment | Назначение ролей приложений для приложения или службы, предоставляемых пользователям, группам и другим субъектам-службам. Поддерживает $expand . |
appRoleAssignments | Коллекция appRoleAssignment | Назначение роли приложения для другого приложения или службы, предоставляемых субъекту-службе. Поддерживает $expand . |
claimsMappingPolicies | Коллекция claimsMappingPolicy | Типы ресурсов claimsMappingPolicy, назначенные субъекту-службе. Поддерживает $expand . |
createdObjects | Коллекция directoryObject | Объекты каталога, созданные субъектом-службой. Только для чтения. Допускается значение null. |
delegatedPermissionClassifications | Коллекция delegatedPermissionClassification | Классификации для делегированных разрешений, предоставленные приложением, которое представляет эта субъект-служба. Поддерживает $expand . |
endpoints | Коллекция endpoint | Конечные точки, доступные для обнаружения. Службы, такие как Sharepoint, заполняют это свойство конечными точками, относящимися к клиенту SharePoint. Другие приложения могут обнаруживать эти конечные точки и использовать их. |
homeRealmDiscoveryPolicies | Коллекция homeRealmDiscoveryPolicy | Типы ресурсов homeRealmDiscoveryPolicy, назначенные субъекту-службе. Поддерживает $expand . |
memberOf | Коллекция directoryObject | Роли, в которых участвует субъект-служба. Методы HTTP: GET. Только для чтения. Допускается значение null. Поддерживает $expand . |
oauth2PermissionGrants | Коллекция oAuth2PermissionGrant | Предоставленные делегированные разрешения, разрешающие этому субъекту-службе доступ к API от имени пользователя, вошедшего в систему. Только для чтения. Допускается значение null. |
ownedObjects | Коллекция directoryObject | Объекты каталогов, принадлежащие субъекту-службе. Только для чтения. Допускается значение null. Поддерживает $expand и $filter (/$count eq 0 , /$count ne 0 , /$count eq 1 , /$count ne 1 ). |
owners | Коллекция directoryObject | Объекты каталогов, владеющие этим объектом servicePrincipal. Владельцы — это набор пользователей, не являющихся администраторами, или servicePrincipal, которым разрешено изменять этот объект. Только для чтения. Допускается значение null. Поддерживает $expand и $filter (/$count eq 0 , /$count ne 0 , /$count eq 1 , /$count ne 1 ). |
remoteDesktopSecurityConfiguration | remoteDesktopSecurityConfiguration | Объект remoteDesktopSecurityConfiguration, применяемый к этому субъекту-службе. Поддерживает $filter (eq ) для свойства isRemoteDesktopProtocolEnabled . |
Синхронизации | синхронизация | Представляет возможность синхронизации Microsoft Entra удостоверений через API Graph Майкрософт. |
tokenIssuancePolicies | Коллекция tokenIssuancePolicy | Политики tokenIssuancePoliciy, назначенные этому субъекту-службе. Поддерживает $expand . |
tokenLifetimePolicies | Коллекция tokenLifetimePolicy | Типы ресурсов tokenLifetimePolicy, назначенные субъекту-службе. Поддерживает $expand . |
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"accountEnabled": true,
"addIns": [{"@odata.type": "microsoft.graph.addIn"}],
"alternativeNames": "String",
"appDisplayName": "String",
"appId": "String",
"appOwnerOrganizationId": "Guid",
"applicationTemplateId": "String",
"appRoleAssignmentRequired": true,
"appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
"customSecurityAttributes": {
"@odata.type": "microsoft.graph.customSecurityAttributeValue"
},
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"errorUrl": "String",
"homepage": "String",
"id": "String (identifier)",
"info": {"@odata.type": "microsoft.graph.informationalUrl"},
"keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
"loginUrl": "String",
"logoutUrl": "String",
"notes": "String",
"notificationEmailAddresses": ["String"],
"publishedPermissionScopes": [{"@odata.type": "microsoft.graph.permissionScope"}],
"passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
"passwordSingleSignOnSettings": {"@odata.type": "microsoft.graph.passwordSingleSignOnSettings"},
"preferredSingleSignOnMode": "String",
"preferredTokenSigningKeyEndDateTime": "DateTime",
"preferredTokenSigningKeyThumbprint": "String",
"publisherName": "String",
"replyUrls": ["String"],
"samlMetadataUrl": "String",
"samlSingleSignOnSettings": "microsoft.DirectoryServices.SamlSingleSignOnSettings",
"servicePrincipalNames": ["String"],
"servicePrincipalType": "String",
"signInAudience": "String",
"tags": ["String"],
"tokenEncryptionKeyId": "String",
"useCustomTokenSigningKey": false,
"verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"}
}
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по