Introducción a los atributos de seguridad personalizados mediante Microsoft Graph API
Los atributos de seguridad personalizados de Microsoft Entra ID son atributos específicos de la empresa (pares clave-valor) que puede definir y asignar a Microsoft Entra objetos. Puede usar estos atributos para almacenar información, clasificar objetos o aplicar un control de acceso específico sobre recursos específicos de Azure. Los atributos de seguridad personalizados se pueden usar con el control de acceso basado en atributos de Azure (ABAC de Azure).
En este artículo se proporciona información general sobre cómo usar microsoft Graph API para definir y asignar sus propios atributos de seguridad personalizados mediante programación.
Tipos de recurso clave
A continuación se muestran los bloques de creación de atributos de seguridad personalizados.
Conjuntos de atributos
Un conjunto de atributos es un grupo de atributos de seguridad personalizados relacionados. A continuación se muestran las características generales de los conjuntos de atributos:
- El nombre no puede incluir espacios ni caracteres especiales.
- No se puede cambiar el nombre ni eliminarse.
- Se puede delegar a otros usuarios para definir y asignar atributos de seguridad personalizados.
Para configurar conjuntos de atributos, use el tipo de recurso attributeSet.
Definiciones de atributos de seguridad personalizados
Una definición de atributo de seguridad personalizada es el esquema de un atributo de seguridad personalizado o un par clave-valor. Por ejemplo, el nombre del atributo de seguridad personalizado, la descripción, el tipo de datos y los valores predefinidos. A continuación se muestran las características generales de las definiciones de atributos de seguridad personalizados:
- El nombre no puede incluir espacios ni caracteres especiales.
- No se puede cambiar el nombre ni eliminar, pero se puede desactivar.
- Debe formar parte de un conjunto de atributos.
Para configurar definiciones de atributos de seguridad personalizadas, use el tipo de recurso customSecurityAttributeDefinition.
Valores permitidos
Los valores permitidos representan los valores predefinidos de un atributo de seguridad personalizado. A continuación se muestran las características generales de los valores permitidos:
- Los valores pueden incluir espacios, pero no se permiten algunos caracteres especiales.
- No se puede cambiar el nombre ni eliminar, pero se puede desactivar.
- Más adelante se pueden agregar más valores predefinidos.
- Puede ser de tipos de datos Boolean, Integer o String.
Para configurar los valores permitidos, use el tipo de recurso allowedValue.
¿Qué objetos de directorio admiten atributos de seguridad personalizados?
Los atributos de seguridad personalizados se pueden asignar a los siguientes objetos mediante la propiedad customSecurityAttributes . A los usuarios sincronizados de directorio desde un Active Directory local también se les pueden asignar atributos de seguridad personalizados.
Para obtener ejemplos de asignaciones de atributos de seguridad personalizadas, vea Ejemplos: Asignación, actualización, lista o eliminación de asignaciones de atributos de seguridad personalizados mediante microsoft Graph API.
Límites y restricciones
Para obtener una lista de los límites y restricciones de los atributos de seguridad personalizados, consulte Límites y restricciones.
Permissions
Para administrar atributos de seguridad personalizados, se debe asignar a la entidad de seguridad de llamada uno de los siguientes roles de Microsoft Entra. De forma predeterminada, el administrador global y otros roles de administrador no tienen permisos para leer, definir ni asignar atributos de seguridad personalizados.
- Lector de definición de atributos
- Administrador de definición de atributos
- Lector de asignación de atributos
- Administrador de asignación de atributos
Además, a la entidad de seguridad que realiza la llamada se le deben conceder los permisos de atributos de seguridad personalizados adecuados.