Privileged Identity Management API-k

  • Cikk

A Microsoft Entra részét képező Privileged Identity Management (PIM) három szolgáltatót tartalmaz:

  • PIM a Microsoft Entra szerepköreihez
  • PIM Azure-erőforrásokhoz
  • PIM csoportokhoz

A Microsoft Graph API használatával a hozzárendeléseket a PIM-ben kezelheti a Microsoft Entra szerepkörökhöz és a csoportokhoz készült PIM-ben. Az Azure-erőforrásokhoz készült PIM-ben az Azure Resource Manager (ARM) API használatával kezelheti a hozzárendeléseket. Ez a cikk a Privileged Identity Management API-k használatának fontos fogalmait ismerteti.

A hozzárendelések kezelését lehetővé tevő API-kkal kapcsolatos további információk a dokumentációban találhatók:

A PIM API előzményei

Az elmúlt néhány évben több iteráció is történt a PIM API-ban. A funkciók között átfedések találhatók, de ezek nem a verziók lineáris előrehaladását jelölik.

Iteráció 1 – Elavult

A /béta/privilegedRoles végpont alatt a Microsoft a PIM API klasszikus verziójával rendelkezik, amely csak a Microsoft Entra szerepköröket támogatja, és már nem támogatott. Az API-hoz való hozzáférés 2021 júniusában elavult.

2. iteráció – Támogatja a Microsoft Entra-szerepköröket és az Azure-erőforrásszerepköröket

A végpont alatt a Microsoft mind /aadRoles/azureResourcesa /beta/privilegedAccess . Ez a végpont továbbra is elérhető a bérlőben, de a Microsoft azt javasolja, hogy ne kezdjen új fejlesztéseket ezzel az API-val. Ez a béta API soha nem lesz általánosan elérhető, és végül elavult lesz.

Iteration 3 (Current) – PIM a Microsoft Entra szerepkörökhöz, a Microsoft Graph API csoportjaihoz és az ARM API-beli Azure-erőforrásokhoz

Ez a PIM API végső iterációja. Tartalma:

  • PiM for Microsoft Entra szerepkörök a Microsoft Graph API-ban – Általánosan elérhető.
  • AZ AZURE-erőforrásokHOZ készült PIM az ARM API-ban – Általánosan elérhető.
  • PIM csoportokhoz a Microsoft Graph API-ban – előzetes verzió.
  • PIM-riasztások Microsoft Entra-szerepkörökhöz a Microsoft Graph API-ban – előzetes verzió.
  • PIM-riasztások azure-erőforrásokhoz az ARM API-ban – előzetes verzió.

A Microsoft Entra-szerepkörökhöz készült PIM a Microsoft Graph API-ban és az Azure-erőforrásokHOZ készült PIM az ARM API-ban néhány előnnyel jár, például:

  • A PIM API igazítása a rendszeres szerepkör-hozzárendelési API-hoz a Microsoft Entra-szerepkörökhöz és az Azure Resource-szerepkörökhöz.
  • Kevesebb szükség van további PIM API meghívására egy erőforrás előkészítéséhez, erőforrás lekéréséhez vagy szerepkördefiníció lekéréséhez.
  • Csak alkalmazásengedélyek támogatása.
  • Új funkciók, például jóváhagyás és e-mail-értesítés konfigurálása.

A PIM API iterációjának áttekintése 3

A SZOLGÁLTATÓK KÖZÖTTI PIM API-k (Mind a Microsoft Graph API-k, mind az ARM API-k) ugyanazokat az alapelveket követik.

Hozzárendelések kezelése

Hozzárendelés (aktív vagy jogosult) létrehozásához, megújításához, meghosszabbításához, frissítési hozzárendelés (aktív vagy jogosult) aktiválásához, jogosult hozzárendelés aktiválásához, jogosult hozzárendelés inaktiválásához, erőforrások használatához *AssignmentScheduleRequest és *EligibilityScheduleRequest:

*AssignmentScheduleRequest vagy *EligibilityScheduleRequest objektumok létrehozása írásvédett *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance és *EligibilityScheduleInstance objektumok létrehozásához vezethet.

  • *A AssignmentSchedule és a *EligibilitySchedule objektumok a jövőben létrehozandó hozzárendelések és hozzárendelések kéréseit jelenítik meg.
  • *A AssignmentScheduleInstance és a *EligibilityScheduleInstance objektumok csak az aktuális hozzárendeléseket jelenítik meg.

Egy jogosult hozzárendelés aktiválásakor (a Create*AssignmentScheduleRequest meghívása megtörtént), a *EligibilityScheduleInstance továbbra is létezik, új *AssignmentSchedule és *AssignmentScheduleInstance objektum jön létre az adott aktivált időtartamhoz.

A hozzárendelési és aktiválási API-kkal kapcsolatos további információkért lásd a PIM API-t a szerepkör-hozzárendelések és jogosultságok kezeléséhez.

PIM-szabályzatok (szerepkör-beállítások)

A PIM-szabályzatok kezeléséhez használja a *roleManagementPolicy és a *roleManagementPolicyAssignment entitásokat:

A *roleManagementPolicy erőforrás olyan szabályokat tartalmaz, amelyek PIM-szabályzatot alkotnak: jóváhagyási követelmények, maximális aktiválási időtartam, értesítési beállítások stb.

A *roleManagementPolicyAssignment objektum egy adott szerepkörhöz csatolja a szabályzatot.

A szabályzatbeállítások API-kkal kapcsolatos további információkért lásd a szerepkör-beállításokat és a PIM-et.

Permissions

PIM a Microsoft Entra szerepköreihez

A Microsoft Entra-szerepkörökhöz szükséges PIM-hez szükséges Graph API-engedélyekért lásd a szerepkör-kezelési engedélyeket.

PIM Azure-erőforrásokhoz

Az Azure-erőforrásszerepkörökhöz készült PIM API az Azure Resource Manager-keretrendszeren alapul. Hozzájárulást kell adnia az Azure Resource Managementhez, de nincs szüksége Microsoft Graph API-engedélyre. Azt is meg kell győződnie, hogy az API-t hívó felhasználó vagy szolgáltatásnév rendelkezik legalább a felügyelni kívánt erőforrás Tulajdonos vagy Felhasználói hozzáférés Rendszergazda istrator szerepkörével.

PIM csoportokhoz

A csoportokhoz tartozó PIM-hez szükséges Graph API-engedélyekért lásd : PIM for Groups – Engedélyek és jogosultságok.

A PIM-entitások és a szerepkör-hozzárendelési entitások közötti kapcsolat

A PIM-entitás és az állandó (aktív) hozzárendelés szerepkör-hozzárendelési entitása között az egyetlen kapcsolat a Microsoft Entra-szerepkörök vagy az Azure-szerepkörök esetében a *AssignmentScheduleInstance. A két entitás között egy-az-egyhez megfeleltetés van. Ez a leképezés a roleAssignment és a *AssignmentScheduleInstance szerepkört jelenti, amelyek a következők:

  • A PIM-en kívül végzett állandó (aktív) hozzárendelések
  • Állandó (aktív) hozzárendelések a PIM-ben végzett ütemezéssel
  • Aktivált jogosult hozzárendelések

A PIM-specifikus tulajdonságok (például a befejezési idő) csak a *AssignmentScheduleInstance objektumon keresztül érhetők el.

További lépések