Obtenir appRoleAssignment

  • Article

Espace de noms: microsoft.graph

Lisez les propriétés et les relations d’un objet appRoleAssignment .

Cette API est disponible dans les déploiements de cloud national suivants.

Service global Gouvernement des États-Unis L4 Us Government L5 (DOD) Chine gérée par 21Vianet

Autorisations

Le tableau suivant indique l’autorisation ou les autorisations les moins privilégiées requises pour appeler cette API sur chaque type de ressource pris en charge. Suivez les bonnes pratiques pour demander des autorisations minimales. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Ressource prise en charge Déléguée (compte professionnel ou scolaire) Déléguée (compte Microsoft personnel) Application
groupe Group.Read.All Non prise en charge. Group.Read.All
servicePrincipal Application.Read.All Non prise en charge. Application.Read.All
user User.Read Non prise en charge. Directory.Read.All

Pour les scénarios délégués, l’utilisateur appelant a besoin d’au moins l’un des rôles Microsoft Entra suivants.

  • Lecteurs d’annuaire
  • Inviteur d’invités - Lire les attributions de rôles d’application pour les utilisateurs uniquement
  • Comptes de synchronisation d’annuaires
  • Rédacteur d’annuaire
  • Administrateur d’identité hybride
  • Administrateur de gouvernance des identités
  • Administrateur de rôle privilégié
  • Administrateur d’utilisateurs
  • Administrateur de l'application
  • Administrateur de l'application cloud

Requête HTTP

Pour obtenir les détails d’un appRole accordé à un principal de service :

GET /servicePrincipals/{client-serviceprincipal-id}/appRoleAssignments/{appRoleAssignment-id}
GET /servicePrincipals(appId='{client-servicePrincipal-appId}')/appRoleAssignments/{appRoleAssignment-id}

Pour obtenir les détails d’un appRole accordé à un utilisateur, un groupe ou un principal de service client pour le principal de service de ressource donné :

GET /servicePrincipals(appId='{resource-servicePrincipal-appId}')/appRoleAssignedTo/{appRoleAssignment-id}
GET /servicePrincipals/{resource-serviceprincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}

Pour obtenir les détails d’un appRole accordé à un groupe :

GET /groups/{group-id}/appRoleAssignments/{appRoleAssignment-id}

Pour obtenir les détails d’un appRole accordé à un utilisateur :

GET /users/{user-id}/appRoleAssignments/{appRoleAssignment-id}
GET /me/appRoleAssignments/{appRoleAssignment-id}

Paramètres facultatifs de la requête

Cette méthode prend en charge le $select paramètre de requête OData pour vous aider à personnaliser la réponse. Pour des informations générales, consultez paramètres de la requête OData.

En-têtes de demande

Nom Description
Autorisation Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.

Corps de la demande

N’indiquez pas le corps de la demande pour cette méthode.

Réponse

Si elle réussit, cette méthode renvoie un code de réponse 200 OK et un objet appRoleAssignment dans le corps de la réponse.

Exemples

Exemple 1 : Obtenir les détails d’un rôle d’application accordé à un utilisateur, un groupe ou un principal de service client pour le principal de service de ressource donné

Demande

La requête suivante interroge le principal de service de ressources pour obtenir les détails d’un rôle d’application qu’il a accordé à un client qui peut être un utilisateur, un groupe ou un principal de service client dans le locataire.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/appRoleAssignedTo/ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA

Réponse

L’exemple suivant illustre la réponse. Il montre qu’un principal de service client nommé Postman a reçu un rôle d’application avec l’ID df021288-bdef-4463-88db-98f22de89214 , qui est l’autorisation d’application User.Read.All , pour le principal du service de ressources nommé Microsoft Graph.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('00000003-0000-0000-c000-000000000000')/appRoleAssignedTo/$entity",
    "id": "ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA",
    "deletedDateTime": null,
    "appRoleId": "df021288-bdef-4463-88db-98f22de89214",
    "createdDateTime": "2023-02-24T17:01:47.0988029Z",
    "principalDisplayName": "Postman",
    "principalId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7",
    "principalType": "ServicePrincipal",
    "resourceDisplayName": "Microsoft Graph",
    "resourceId": "7408235b-7540-4850-82fe-a5f15ed019e2"
}

Exemple 2 : Obtenir les détails d’un rôle d’application accordé à un principal de service

Demande

La requête suivante interroge le principal du service client pour obtenir les détails d’un rôle d’application qui lui est accordé. Dans cette instance, le rôle d’application représente l’autorisation de l’application.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='ceb96a54-de95-49a0-b38c-c55263fcf421')/appRoleAssignments/ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA

Réponse

L’exemple suivant illustre la réponse. Il montre qu’un principal de service client nommé Postman a reçu un rôle d’application avec l’ID df021288-bdef-4463-88db-98f22de89214 , qui est l’autorisation d’application User.Read.All , pour le principal du service de ressources nommé Microsoft Graph.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('ceb96a54-de95-49a0-b38c-c55263fcf421')/appRoleAssignments/$entity",
    "id": "ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA",
    "deletedDateTime": null,
    "appRoleId": "df021288-bdef-4463-88db-98f22de89214",
    "createdDateTime": "2023-02-24T17:01:47.0988029Z",
    "principalDisplayName": "Postman",
    "principalId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7",
    "principalType": "ServicePrincipal",
    "resourceDisplayName": "Microsoft Graph",
    "resourceId": "7408235b-7540-4850-82fe-a5f15ed019e2"
}

Exemple 3 : Obtenir les détails d’un rôle d’application accordé à l’utilisateur connecté

Demande

La requête suivante interroge l’appRoleAssignments de l’utilisateur connecté.

GET https://graph.microsoft.com/v1.0/me/appRoleAssignments/Lo6gEKI-4EyAy9X91LBepo6Aq0Rt6QxBjWRl76txk8I

Réponse

L’exemple suivant illustre la réponse. Il montre que l’utilisateur connecté a le rôle d’application par défaut pour un principal de service de ressources nommé Postman.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users('10a08e2e-3ea2-4ce0-80cb-d5fdd4b05ea6')/appRoleAssignments/$entity",
    "id": "Lo6gEKI-4EyAy9X91LBepo6Aq0Rt6QxBjWRl76txk8I",
    "deletedDateTime": null,
    "appRoleId": "00000000-0000-0000-0000-000000000000",
    "createdDateTime": "2022-09-08T17:43:57.8423817Z",
    "principalDisplayName": "MOD Administrator",
    "principalId": "10a08e2e-3ea2-4ce0-80cb-d5fdd4b05ea6",
    "principalType": "User",
    "resourceDisplayName": "Postman",
    "resourceId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7"
}