Тип ресурса servicePrincipal

  • Статья

Пространство имен: microsoft.graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Представляет экземпляр приложения в каталоге. Наследуется от directoryObject.

Этот ресурс поддерживает отслеживание добавлений, удалений и обновлений с помощью разностного запроса с функцией delta. Этот ресурс относится к открытому типу, который позволяет передавать другие свойства.

Методы

Метод Возвращаемый тип Описание
Перечисление servicePrincipals Коллекция servicePrincipal Получение списка объектов servicePrincipal.
Создать servicePrincipal servicePrincipal Создание нового объекта servicePrincipal.
Получение объекта servicePrincipal servicePrincipal Чтение свойств и связей объекта servicePrincipal.
Обновить servicePrincipal Нет Обновление объекта servicePrincipal.
Upsert servicePrincipal servicePrincipal Создайте новый servicePrincipal, если он не существует, или обновите свойства существующего servicePrincipal.
Удалить servicePrincipal Нет Удаление объекта servicePrincipal.
Список удаленных servicePrincipals Коллекция directoryObject Извлечение списка недавно удаленных объектов servicePrincipal.
Получение удаленного servicePrincipal directoryObject Извлечение свойств недавно удаленного объекта servicePrincipal.
Окончательное удаление servicePrincipal Нет Окончательное удаление объекта servicePrincipal.
Восстановление удаленного servicePrincipal directoryObject Восстановление недавно удаленного объекта servicePrincipal.
Перечисление createdObjects Коллекция directoryObject Получение коллекции объектов createdObject.
Список ownedObjects Коллекция directoryObject Получение коллекции объектов ownedObject.
delta Коллекция servicePrincipal Получение добавочных изменений для субъектов-служб.
Создание remoteDesktopSecurityConfiguration remoteDesktopSecurityConfiguration Создайте объект remoteDesktopSecurityConfiguration в servicePrincipal.
Получение remoteDesktopSecurityConfiguration remoteDesktopSecurityConfiguration Получите объект remoteDesktopSecurityConfiguration в servicePrincipal.
Удаление remoteDesktopSecurityConfiguration Нет Удалите объект remoteDesktopSecurityConfiguration в servicePrincipal.
Назначение ролей приложений
Перечисление appRoleAssignments Коллекция appRoleAssignment Получите роли приложения, назначенные этому субъекту-службе.
Добавление объекта appRoleAssignment appRoleAssignment Назначение роли приложения субъекту-службе.
Удаление объекта appRoleAssignment Нет Удаление назначения роли приложения субъекта-службы.
List appRoleAssignedTo Коллекция appRoleAssignment Создание пользователей, ролей и назначенных ролей приложений для этого субъекта-службы.
Add appRoleAssignedTo appRoleAssignment Назначение роли для этого субъекта-службы пользователю, группе или субъекту-службе.
Remove appRoleAssignedTo Нет Удаление назначенной роли этого субъекта-службы у пользователя, группы или субъекта-службы.
Сертификаты и секреты
Добавление пароля passwordCredential Добавление стойкого пароля или секрета в servicePrincipal.
Добавление tokenSigningCertificate selfSignedCertificate Добавление самозаверяющего сертификата в субъект-службу. В основном используется для настройки приложений единого входа на основе SAML из коллекции Microsoft Entra.
Удаление пароля passwordCredential Удаление пароля или секрета из servicePrincipal.
Добавление ключа keyCredential Добавление учетных данных ключа объекту servicePrincipal.
Удаление ключа Нет Удаление учетных данных ключа объекта servicePrincipal.
Классификация делегированных разрешений
Список классификации делегированных разрешений Коллекция delegatedPermissionClassification Получение классификаций для делегированных разрешений, предоставленных этим субъектом-службой.
Добавление классификации делегированных разрешений delegatedPermissionClassification Добавление классификации для делегированных разрешений, предоставленных этим субъектом-службой.
Удаление классификации делегированных разрешений Нет Удаление классификации для делегированных разрешений, предоставленных этим субъектом-службой.
Предоставление делегированных разрешений
Перечисление oauth2PermissionGrants Коллекция oAuth2PermissionGrant Получите предоставление делегированных разрешений, предоставляющих этому объекту-службе доступ к API от имени пользователя, вошедшего в систему.
Членство.
Перечисление memberOf Коллекция directoryObject Получение групп, непосредственным участником которых является субъект-служба, из свойства навигации memberOf.
Перечисление транзитивных свойств memberOf Коллекция directoryObject Перечисление групп, в которых участвует субъект-служба. Эта операция является транзитивной и включает группы, в которых состоит субъект-служба.
checkMemberGroups Коллекция String Проверка участия в указанном списке групп.
checkMemberObjects Коллекция String Проверка участия в указанном списке групп, ролях каталога или объектах административных единиц.
getMemberGroups Коллекция String Список групп, в которых участвует субъект-служба.
getMemberObjects Коллекция String Получение списка групп, административных единиц и ролей каталога, в которых состоит субъект-служба.
Владельцы
Список владельцев Коллекция directoryObject Получение владельцев субъекта-службы.
Добавление владельца directoryObject Назначьте владельца субъекту-службе. Владельцами субъекта-службы могут быть пользователи или другие субъекты-службы.
Удаление владельца Нет Удаление владельца из субъекта-службы. Рекомендуется, чтобы субъекты-службы имели по крайней мере двух владельцев.
Политики
Назначение типа ресурса claimsMappingPolicy Коллекция claimsMappingPolicy Назначение типа ресурса claimsMappingPolicy объекту.
Перечисление типов ресурсов claimsMappingPolicy Коллекция claimsMappingPolicy Получение всех типов ресурсов claimsMappingPolicy, назначенных объекту.
Удаление типа ресурса claimsMappingPolicy Коллекция claimsMappingPolicy Удаление claimsMappingPolicy этого объекта.
Назначение типа ресурса homeRealmDiscoveryPolicy Коллекция homeRealmDiscoveryPolicy Назначение типа ресурса homeRealmDiscoveryPolicy объекту.
Перечисление типов ресурсов homeRealmDiscoveryPolicy Коллекция homeRealmDiscoveryPolicy Получение всех типов ресурсов homeRealmDiscoveryPolicy, назначенных объекту.
Удаление типа ресурса homeRealmDiscoveryPolicy Коллекция homeRealmDiscoveryPolicy Удаление типа ресурса homeRealmDiscoveryPolicy из объекта.
Назначить tokenIssuancePolicy tokenIssuancePolicy Коллекция Присвойте tokenIssuancePolicy этому объекту.
Перечислить tokenIssuancePolicies tokenIssuancePolicy Коллекция Назначьте все tokenIssuancePolicies этому объекту.
Убрать tokenIssuancePolicy tokenIssuancePolicy Коллекция Удалите tokenIssuancePolicy из этого объекта.
Назначение типа ресурса tokenLifetimePolicy Коллекция tokenLifetimePolicy Назначение типа ресурса tokenLifetimePolicy объекту.
Перечисление типов ресурсов tokenLifetimePolicy Коллекция tokenLifetimePolicy Получение всех типов ресурсов tokenLifetimePolicies, назначенных объекту.
Удаление типа ресурса tokenLifetimePolicy Коллекция tokenLifetimePolicy Удаление типа ресурса tokenLifetimePolicy из объекта.
List permissionGrantPreApprovalPolicy коллекция permissionGrantPreApprovalPolicy Получите разрешениеGrantPreApprovalPolicy, назначенное этому объекту.
Назначение permissionGrantPreApprovalPolicy коллекция permissionGrantPreApprovalPolicy Назначьте этому объекту permissionGrantPreApprovalPolicy.
Удаление permissionGrantPreApprovalPolicy коллекция permissionGrantPreApprovalPolicy Удалите permissionGrantPreApprovalPolicy из этого объекта.
Единый вход
createPasswordSingleSignOnCredentials passwordSingleSignOnCredentialSet Создание набора учетных данных для пользователя или группы, указанных в основном тексте.
getPasswordSingleSignOnCredentials passwordSingleSignOnCredentialSet Получение набора учетных данных для пользователя или группы, указанных в основном тексте.
updatePasswordSingleSignOnCredentials Нет Обновление набора учетных данных для пользователя или группы, указанных в основном тексте.
deletePasswordSingleSignOnCredentials Нет Удаление набора учетных данных для пользователя или группы, указанных в основном тексте.

Свойства

Важно!

Определенное использование $filter и параметра запроса $search поддерживается только при применении заголовка ConsistencyLevel с присвоенным значением eventual и $count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.

Свойство Тип Описание
accountEnabled Логический Значение true, если учетная запись субъекта-службы включена. В противном случае используется значение false. Если задано значение false, пользователи не смогут войти в это приложение, даже если они назначены ему. Поддерживает $filter (eq, ne, not, in).
addIns Коллекция addIn Определяет пользовательское поведение, которое служба может использовать для вызова приложения в определенных контекстах. Например, приложения, которые способны визуализировать файловые потоки, могут установить свойство addIns для его функции "FileHandler". Это позволяет таким службам, как Microsoft 365, вызывать приложение в контексте документа, над которым работает пользователь.
alternativeNames Коллекция строк Используется для получения субъектов-служб по подписке, идентификации групп ресурсов и полных идентификаторов ресурсов для управляемых удостоверений. Поддерживает $filter (eq, not, ge, le, startsWith).
appDescription Строка Описание, предоставляемое связанным приложением.
appDisplayName String Отображаемое имя, предоставляемое связанным приложением.
appId String Уникальный идентификатор для связанного приложения (его свойство appId). Альтернативный ключ. Поддерживает $filter (eq, ne, not, in, startsWith).
applicationTemplateId Строка Уникальный идентификатор applicationTemplate. Поддерживает $filter (eq, not, ne). Только для чтения. null Значение , если приложение не было создано на основе шаблона приложения.
appOwnerOrganizationId Guid Содержит идентификатор клиента, в котором зарегистрировано приложение. Применимо только для субъектов-служб на основе приложений. Поддерживает $filter (eq, ne, NOT, ge, le).
appRoleAssignmentRequired Boolean Указывает, нужно ли предоставлять назначение роли пользователям или другим субъектам-службам для этого субъекта-службы, прежде чем пользователи смогут выполнять вход, а приложения — получать маркеры. Значение по умолчанию — false. Значение NULL не допускается.

Поддерживает $filter (eq, ne, NOT).
appRoles Коллекция appRole Роли, предоставляемые приложением, которое представляет этот субъект-служба. Дополнительные сведения см. в определении свойства appRoles для сущности приложения . Значение null не допускается.
customSecurityAttributes customSecurityAttributeValue Открытый сложный тип, который содержит значение настраиваемого атрибута безопасности, назначенного объекту каталога. Допускается значение null.

Возвращается только с помощью оператора $select. Поддерживает $filter (eq, ne, not, startsWith). Значение фильтра учитывает регистр.
deletedDateTime DateTimeOffset Дата и время удаления субъекта-службы. Только для чтения.
description String Поле с произвольным текстом для предоставления внутренним пользователям описания субъекта-службы. На порталах конечных пользователей, таких как MyApps , в этом поле отображается описание приложения. Максимальный допустимый размер — 1024 символа. Поддерживает $filter (eq, ne, not, ge, le, startsWith) и $search.
disabledByMicrosoftStatus Строка Указывает, отключила ли корпорация Майкрософт зарегистрированное приложение. Возможные значения: null (значение по умолчанию), NotDisabled и DisabledDueToViolationOfServicesAgreement (возможные причины: подозрительные, оскорбительные или вредоносные действия, а также нарушение соглашения об использовании служб Майкрософт).

Поддерживает $filter (eq, ne, not).
displayName String Отображаемое имя для субъекта-службы. Поддерживает $filter (eq, ne, not, ge, le, in, startsWith и eq по null значениям), $search и $orderby.
errorUrl Строка Устарело. Не используйте.
homepage String Главная или начальная страница приложения.
id String Уникальный идентификатор для субъекта-службы. Наследуется от directoryObject. Ключ. Значение null не допускается. Только для чтения. Поддерживает $filter (eq, ne, not, in).
info informationalUrl Базовые данные профиля для полученного приложения, такие как URL-адреса маркетинга, поддержки, условий обслуживания и заявления о конфиденциальности. Условия обслуживания и заявление о конфиденциальности отображаются в окне запроса согласия пользователя. Дополнительные сведения см. в разделе Практическое руководство. Добавление условий обслуживания и заявления о конфиденциальности для зарегистрированных Microsoft Entra приложений.

Поддерживает $filter (eq, ne, not, ge, le и eq для значений null).
keyCredentials Коллекция keyCredential Коллекция ключевых учетных данных, связанных с субъектом-службой. Значение null не допускается. Поддерживает $filter (eq, not, ge, le).
loginUrl String Указывает URL-адрес, по которому поставщик услуг перенаправляет пользователя на Microsoft Entra ID для проверки подлинности. Microsoft Entra ID использует URL-адрес для запуска приложения из Microsoft 365 или Microsoft Entra Мои приложения. Если этот параметр не задан, Microsoft Entra ID выполняет вход, инициированный поставщиком удостоверений, для приложений, настроенных с помощью единого входа на основе SAML. Пользователь запускает приложение из Microsoft 365, Microsoft Entra Мои приложения или URL-адреса единого входа Microsoft Entra.
logoutUrl String Указывает URL-адрес, используемый службой авторизации Майкрософт для выхода пользователя с помощью протоколов front-channel, back-channel или SAML.
notes String Поле с произвольным текстом для записи сведений о субъекте-службе, обычно применяемых в рабочих целях. Максимальный допустимый размер — 1024 символа.
notificationEmailAddresses Коллекция строк Указывает список адресов электронной почты, на которые Microsoft Entra ID отправляет уведомление, когда активный сертификат приближается к дате окончания срока действия. Это касается только сертификатов, используемых для подписи маркера SAML, выданного для приложений коллекции Microsoft Entra.
passwordCredentials Коллекция passwordCredential Коллекция учетных данных паролей, связанных с субъектом-службой. Значение null не допускается.
passwordSingleSignOnSettings passwordSingleSignOnSettings Коллекция для параметров, связанных с единым входом с паролем. Для чтения свойства используйте параметр $select=passwordSingleSignOnSettings. Для applicationTemplates предназначено только для чтения, кроме пользовательских объектов applicationTemplates.
preferredSingleSignOnMode Строка Указывает режим единого входа, настроенный для этого приложения. Microsoft Entra ID использует предпочтительный режим единого входа для запуска приложения из Microsoft 365 или Microsoft Entra Мои приложения. Поддерживаемые значения: password, saml, notSupported и oidc.
permissionGrantPreApprovalPolicies коллекция permissionGrantPreApprovalPolicy Список предварительных политик, назначенных субъекту-службе.
preferredTokenSigningKeyEndDateTime DateTimeOffset Указывает дату окончания срока действия keyCredential, использованного для подписи маркера, помеченного с помощью preferredTokenSigningKeyThumbprint. Обновление этого атрибута в настоящее время не поддерживается. Дополнительные сведения см. в разделе Различия свойств ServicePrincipal.
preferredTokenSigningKeyThumbprint String Это свойство можно использовать в приложениях SAML (приложениях, для которых параметр preferredSingleSignOnMode имеет значение saml) для управления сертификатом, используемым для подписывания ответов SAML. Для приложений, которые не являются SAML, не записывайте это свойство и не полагайтесь на нее иным образом.
publishedPermissionScopes Коллекция permissionScope Делегированные разрешения, предоставляемые приложением. Дополнительные сведения см. в свойстве oauth2PermissionScopes в свойстве API объекта приложения. Значение null не допускается.
Примечание. Это свойство называется oauth2PermissionScopes в версии 1.0.
publisherName String Имя клиента Microsoft Entra, который опубликовал приложение.
replyUrls Коллекция String URL-адреса, которым отправляются маркеры пользователей для входа с помощью связанного приложения, или URI перенаправления, которым отправляются коды авторизации OAuth 2.0 и маркеры доступа для связанного приложения. Значение null не допускается.
samlMetadataUrl Строка URL-адрес, по которому служба предоставляет метаданные SAML для федерации.
samlSingleSignOnSettings samlSingleSignOnSettings Коллекция для параметров, связанных с единым входом SAML.
ServicePrincipalNames Коллекция объектов string Содержит список объектов identifiersUris, скопированных из связанного объекта application. В гибридные приложения можно добавить дополнительные значения. Эти значения можно использовать для определения разрешений, предоставляемых этим приложением в Microsoft Entra ID. Пример.
  • Клиентские приложения могут указать URI ресурса, основанный на значениях этого свойства для получения маркера доступа, который является URI, возвращенным в утверждении "aud".

Оператор "any" требуется для выражений фильтров, применяемых к многозначным свойствам. Значение null не допускается.

Поддерживает $filter (eq, not, ge, le, startsWith).
servicePrincipalType Строка Указывает, что представляет субъект-служба: приложение или управляемое удостоверение. Это задается внутренней Microsoft Entra ID. Если субъект-служба представляет приложение, указывается значение Application. Для субъекта-службы, представляющего управляемое удостоверение , задается значение ManagedIdentity. Тип SocialIdp предназначен для внутреннего использования.
signInAudience String Указывает, учетные записи Майкрософт, которые поддерживаются для текущего приложения. Только для чтения.

Поддерживаемые значения:
  • AzureADMyOrg: пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra моей организации (с одним клиентом).
  • AzureADMultipleOrgs: пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra организации (мультитенантном).
  • AzureADandPersonalMicrosoftAccount: пользователи с личной учетной записью Майкрософт или рабочей или учебной учетной записью в Microsoft Entra клиенте любой организации.
  • PersonalMicrosoftAccount — пользователи только с личной учетной записью Майкрософт.
tags Коллекция объектов string Настраиваемые строки, которые можно использовать для классификации и определения субъекта-службы. Значение null не допускается. Значение представляет собой объединение строк, заданных здесь и в свойстве tags связанной сущности приложения.

Поддерживает $filter (eq, not, ge, le, startsWith).
tokenEncryptionKeyId String Задает значение открытого ключа keyId из коллекции keyCredentials. После настройки Microsoft Entra ID выдает маркеры для этого приложения, зашифрованные с помощью ключа, указанного этим свойством. Код приложения, получающий зашифрованный маркер, должен использовать соответствующий закрытый ключ для расшифровки маркера, прежде чем его можно будет применить для пользователя, выполнившего вход.
verifiedPublisher verifiedPublisher Указывает проверенный издатель приложения, связанного с этим субъектом-службой.

Связи

Важно!

Конкретное $filter использование параметра запроса поддерживается только при использовании заголовка ConsistencyLevel и eventual$count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.

Связь Тип Описание
appManagementPolicies Коллекция appManagementPolicy Параметр appManagementPolicy, примененный к этому субъекту-службе.
appRoleAssignedTo appRoleAssignment Назначение ролей приложений для приложения или службы, предоставляемых пользователям, группам и другим субъектам-службам. Поддерживает $expand.
appRoleAssignments Коллекция appRoleAssignment Назначение роли приложения для другого приложения или службы, предоставляемых субъекту-службе. Поддерживает $expand.
claimsMappingPolicies Коллекция claimsMappingPolicy Типы ресурсов claimsMappingPolicy, назначенные субъекту-службе. Поддерживает $expand.
createdObjects Коллекция directoryObject Объекты каталога, созданные субъектом-службой. Только для чтения. Допускается значение null.
delegatedPermissionClassifications Коллекция delegatedPermissionClassification Классификации для делегированных разрешений, предоставленные приложением, которое представляет эта субъект-служба. Поддерживает $expand.
endpoints Коллекция endpoint Конечные точки, доступные для обнаружения. Службы, такие как Sharepoint, заполняют это свойство конечными точками, относящимися к клиенту SharePoint. Другие приложения могут обнаруживать эти конечные точки и использовать их.
homeRealmDiscoveryPolicies Коллекция homeRealmDiscoveryPolicy Типы ресурсов homeRealmDiscoveryPolicy, назначенные субъекту-службе. Поддерживает $expand.
memberOf Коллекция directoryObject Роли, в которых участвует субъект-служба. Методы HTTP: GET. Только для чтения. Допускается значение null. Поддерживает $expand.
oauth2PermissionGrants Коллекция oAuth2PermissionGrant Предоставленные делегированные разрешения, разрешающие этому субъекту-службе доступ к API от имени пользователя, вошедшего в систему. Только для чтения. Допускается значение null.
ownedObjects Коллекция directoryObject Объекты каталогов, принадлежащие субъекту-службе. Только для чтения. Допускается значение null. Поддерживает $expand и $filter (/$count eq 0, /$count ne 0, /$count eq 1, /$count ne 1).
owners Коллекция directoryObject Объекты каталогов, владеющие этим объектом servicePrincipal. Владельцы — это набор пользователей, не являющихся администраторами, или servicePrincipal, которым разрешено изменять этот объект. Только для чтения. Допускается значение null. Поддерживает $expand и $filter (/$count eq 0, /$count ne 0, /$count eq 1, /$count ne 1).
remoteDesktopSecurityConfiguration remoteDesktopSecurityConfiguration Объект remoteDesktopSecurityConfiguration, применяемый к этому субъекту-службе. Поддерживает $filter (eq) для свойства isRemoteDesktopProtocolEnabled .
Синхронизации синхронизация Представляет возможность синхронизации Microsoft Entra удостоверений через API Graph Майкрософт.
tokenIssuancePolicies Коллекция tokenIssuancePolicy Политики tokenIssuancePoliciy, назначенные этому субъекту-службе. Поддерживает $expand.
tokenLifetimePolicies Коллекция tokenLifetimePolicy Типы ресурсов tokenLifetimePolicy, назначенные субъекту-службе. Поддерживает $expand.

Представление JSON

В следующем представлении JSON показан тип ресурса.

{
  "accountEnabled": true,
  "addIns": [{"@odata.type": "microsoft.graph.addIn"}],
  "alternativeNames": "String",
  "appDisplayName": "String",
  "appId": "String",
  "appOwnerOrganizationId": "Guid",
  "applicationTemplateId": "String",
  "appRoleAssignmentRequired": true,
  "appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
  "customSecurityAttributes": {
    "@odata.type": "microsoft.graph.customSecurityAttributeValue"
  },
  "disabledByMicrosoftStatus": "String",
  "displayName": "String",
  "errorUrl": "String",
  "homepage": "String",
  "id": "String (identifier)",
  "info": {"@odata.type": "microsoft.graph.informationalUrl"},
  "keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
  "loginUrl": "String",
  "logoutUrl": "String",
  "notes": "String",
  "notificationEmailAddresses": ["String"],
  "publishedPermissionScopes": [{"@odata.type": "microsoft.graph.permissionScope"}],
  "passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
  "passwordSingleSignOnSettings": {"@odata.type": "microsoft.graph.passwordSingleSignOnSettings"},
  "preferredSingleSignOnMode": "String",
  "preferredTokenSigningKeyEndDateTime": "DateTime",
  "preferredTokenSigningKeyThumbprint": "String",
  "publisherName": "String",
  "replyUrls": ["String"],
  "samlMetadataUrl": "String",
  "samlSingleSignOnSettings": "microsoft.DirectoryServices.SamlSingleSignOnSettings",
  "servicePrincipalNames": ["String"],
  "servicePrincipalType": "String",
  "signInAudience": "String",
  "tags": ["String"],
  "tokenEncryptionKeyId": "String",
  "useCustomTokenSigningKey": false,
  "verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"}
}