Sdílet prostřednictvím

Rozhraní API služby Privileged Identity Management

  • Článek

Privileged Identity Management (PIM), součást Microsoft Entra, zahrnuje tři zprostředkovatele:

  • PIM pro role Microsoft Entra
  • PIM pro prostředky Azure
  • PIM pro skupiny

Pomocí rozhraní Microsoft Graph API můžete spravovat přiřazení v PIM pro role Microsoft Entra a PIM pro skupiny. Přiřazení v PIM pro prostředky Azure můžete spravovat pomocí rozhraní API Azure Resource Manageru (ARM). Tento článek popisuje důležité koncepty použití rozhraní API pro Privileged Identity Management.

Další podrobnosti o rozhraních API, která umožňují spravovat přiřazení, najdete v dokumentaci:

Historie rozhraní API PIM

V posledních několika letech došlo k několika iteracím rozhraní API PIM. Některé funkce se překrývají, ale nepředstavují lineární průběh verzí.

Iterace 1 – zastaralé

V koncovém bodu /beta/privilegedRoles měl Microsoft klasickou verzi rozhraní PIM API, která podporovala pouze role Microsoft Entra a která se už nepodporuje. Přístup k tomuto rozhraní API byl vyřazen v červnu 2021.

Iterace 2 – podporuje role Microsoft Entra a role prostředků Azure

V rámci koncového /beta/privilegedAccess bodu microsoft podporuje obojí /aadRoles i /azureResources. Tento koncový bod je stále dostupný ve vašem tenantovi, ale Microsoft doporučuje začít s tímto rozhraním API jakýkoli nový vývoj. Toto beta rozhraní API nebude nikdy vydáno pro obecnou dostupnost a nakonec bude zastaralé.

Iterace 3 (aktuální) – PIM pro role Microsoft Entra, skupiny v rozhraní Microsoft Graph API a pro prostředky Azure v rozhraní ARM API

Jedná se o konečnou iteraci rozhraní API PIM. Patří mezi ně:

  • PIM pro role Microsoft Entra v rozhraní Microsoft Graph API – obecně dostupné.
  • PIM pro prostředky Azure v rozhraní ARM API – Obecně dostupné.
  • PIM pro skupiny v rozhraní Microsoft Graph API – Preview.
  • Upozornění PIM pro role Microsoft Entra v rozhraní Microsoft Graph API – Preview
  • Upozornění PIM pro prostředky Azure v rozhraní ARM API – Preview

Používání PIM pro role Microsoft Entra v rozhraní Microsoft Graph API a PIM pro prostředky Azure v rozhraní ARM API nabízí několik výhod, mezi které patří:

  • Zarovnání rozhraní API PIM pro rozhraní API pro běžné přiřazení rolí pro role Microsoft Entra i role prostředků Azure.
  • Snížení nutnosti volat další rozhraní API PIM pro připojení prostředku, získání prostředku nebo získání definice role
  • Podpora oprávnění jen pro aplikace
  • Nové funkce, jako je konfigurace schvalování a e-mailových oznámení.

Přehled iterace rozhraní PIM API 3

Rozhraní API PIM napříč poskytovateli (rozhraní Microsoft Graph API i rozhraní API ARM) se řídí stejnými principy.

Správa přiřazení

Pokud chcete vytvořit přiřazení (aktivní nebo způsobilé), prodloužení platnosti, prodloužení přiřazení aktualizace (aktivní nebo způsobilé), aktivujte způsobilé přiřazení, deaktivujte způsobilé přiřazení, použijte zdroje *AssignmentScheduleRequest a *EligibilityScheduleRequest:

Vytvoření objektu *AssignmentScheduleRequest nebo *EligibilityScheduleRequest může vést k vytvoření objektů *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance a *EligibilityScheduleInstance a *EligibilityScheduleInstance.

  • *Objekty AssignmentSchedule a *EligibilitySchedule zobrazují aktuální přiřazení a žádosti o vytvoření přiřazení v budoucnu.
  • *AssignmentScheduleInstance a *EligibilityScheduleInstance objekty zobrazují pouze aktuální přiřazení.

Po aktivaci oprávněného přiřazení (Create*AssignmentScheduleRequest byl volán), bude *EligibleScheduleInstance nadále existovat, nové *AssignmentSchedule a *AssignmentScheduleInstance objekty se vytvoří pro tuto dobu aktivace.

Další informace o rozhraních API pro přiřazení a aktivaci najdete v tématu PIM API pro správu přiřazení rolí a eligibility.

Zásady PIM (nastavení rolí)

Ke správě zásad PIM použijte entity *roleManagementPolicy a *roleManagementPolicyAssignment :

Prostředek *roleManagementPolicy obsahuje pravidla, která představují zásady PIM: požadavky na schválení, maximální dobu trvání aktivace, nastavení oznámení atd.

Objekt *roleManagementPolicyAssignment připojí zásadu ke konkrétní roli.

Další informace o rozhraních API nastavení zásad najdete v tématu Nastavení rolí a PIM.

Oprávnění

PIM pro role Microsoft Entra

Informace o oprávněních rozhraní Graph API vyžadovaných pro PIM pro role Microsoft Entra najdete v tématu Oprávnění pro správu rolí.

PIM pro prostředky Azure

Rozhraní API PIM pro role prostředků Azure se vyvíjí nad rámec architektury Azure Resource Manageru. Budete muset udělit souhlas se službou Azure Resource Management, ale nebudete potřebovat žádné oprávnění rozhraní Microsoft Graph API. Budete také muset zajistit, aby uživatel nebo instanční objekt volající rozhraní API měli alespoň roli Vlastník nebo Uživatelský přístup Správa istrator na prostředku, který se pokoušíte spravovat.

PIM pro skupiny

Informace o oprávněních rozhraní Graph API vyžadovaných pro PIM pro skupiny najdete v tématu PIM pro skupiny – oprávnění a oprávnění.

Vztah mezi entitami PIM a entitami přiřazení rolí

Jediným propojením mezi entitou PIM a entitou přiřazení role pro trvalé (aktivní) přiřazení pro role Microsoft Entra nebo role Azure je *AssignmentScheduleInstance. Mezi těmito dvěma entitami je mapování 1:1. Mapování znamená, že roleAssignment a *AssignmentScheduleInstance by zahrnovaly:

  • Trvalá (aktivní) přiřazení provedená mimo PIM
  • Trvalá (aktivní) přiřazení s plánem provedeným uvnitř PIM
  • Aktivovaná oprávněná přiřazení

Vlastnosti specifické pro PIM (například koncový čas) budou k dispozici pouze prostřednictvím objektu *AssignmentScheduleInstance .

Další kroky