Privileged Identity Management API-k
A Microsoft Entra részét képező Privileged Identity Management (PIM) három szolgáltatót tartalmaz:
- PIM a Microsoft Entra szerepköreihez
- PIM Azure-erőforrásokhoz
- PIM csoportokhoz
A Microsoft Graph API használatával a hozzárendeléseket a PIM-ben kezelheti a Microsoft Entra szerepkörökhöz és a csoportokhoz készült PIM-ben. Az Azure-erőforrásokhoz készült PIM-ben az Azure Resource Manager (ARM) API használatával kezelheti a hozzárendeléseket. Ez a cikk a Privileged Identity Management API-k használatának fontos fogalmait ismerteti.
A hozzárendelések kezelését lehetővé tevő API-kkal kapcsolatos további információk a dokumentációban találhatók:
- A Microsoft Entra-szerepkörökHÖZ készült PIM API-referencia
- AZ Azure-erőforrásszerepkörökHÖZ készült PIM API-referencia
- PIM for Groups API-referencia
- PIM-riasztások a Microsoft Entra-szerepkörök API-referenciáihoz
- PIM-riasztások az Azure Resources API-ra vonatkozó referenciaként
A PIM API előzményei
Az elmúlt néhány évben több iteráció is történt a PIM API-ban. A funkciók között átfedések találhatók, de ezek nem a verziók lineáris előrehaladását jelölik.
Iteráció 1 – Elavult
A /béta/privilegedRoles végpont alatt a Microsoft a PIM API klasszikus verziójával rendelkezik, amely csak a Microsoft Entra szerepköröket támogatja, és már nem támogatott. Az API-hoz való hozzáférés 2021 júniusában elavult.
2. iteráció – Támogatja a Microsoft Entra-szerepköröket és az Azure-erőforrásszerepköröket
A végpont alatt a Microsoft mind /aadRoles
/azureResources
a /beta/privilegedAccess
. Ez a végpont továbbra is elérhető a bérlőben, de a Microsoft azt javasolja, hogy ne kezdjen új fejlesztéseket ezzel az API-val. Ez a béta API soha nem lesz általánosan elérhető, és végül elavult lesz.
Iteration 3 (Current) – PIM a Microsoft Entra szerepkörökhöz, a Microsoft Graph API csoportjaihoz és az ARM API-beli Azure-erőforrásokhoz
Ez a PIM API végső iterációja. Tartalma:
- PiM for Microsoft Entra szerepkörök a Microsoft Graph API-ban – Általánosan elérhető.
- AZ AZURE-erőforrásokHOZ készült PIM az ARM API-ban – Általánosan elérhető.
- PIM csoportokhoz a Microsoft Graph API-ban – előzetes verzió.
- PIM-riasztások Microsoft Entra-szerepkörökhöz a Microsoft Graph API-ban – előzetes verzió.
- PIM-riasztások azure-erőforrásokhoz az ARM API-ban – előzetes verzió.
A Microsoft Entra-szerepkörökhöz készült PIM a Microsoft Graph API-ban és az Azure-erőforrásokHOZ készült PIM az ARM API-ban néhány előnnyel jár, például:
- A PIM API igazítása a rendszeres szerepkör-hozzárendelési API-hoz a Microsoft Entra-szerepkörökhöz és az Azure Resource-szerepkörökhöz.
- Kevesebb szükség van további PIM API meghívására egy erőforrás előkészítéséhez, erőforrás lekéréséhez vagy szerepkördefiníció lekéréséhez.
- Csak alkalmazásengedélyek támogatása.
- Új funkciók, például jóváhagyás és e-mail-értesítés konfigurálása.
A PIM API iterációjának áttekintése 3
A SZOLGÁLTATÓK KÖZÖTTI PIM API-k (Mind a Microsoft Graph API-k, mind az ARM API-k) ugyanazokat az alapelveket követik.
Hozzárendelések kezelése
Hozzárendelés (aktív vagy jogosult) létrehozásához, megújításához, meghosszabbításához, frissítési hozzárendelés (aktív vagy jogosult) aktiválásához, jogosult hozzárendelés aktiválásához, jogosult hozzárendelés inaktiválásához, erőforrások használatához *AssignmentScheduleRequest és *EligibilityScheduleRequest:
- Microsoft Entra-szerepkörök esetén: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
- Azure-erőforrások esetén: Szerepkör-hozzárendelés ütemezési kérése, Szerepkör-jogosultság ütemezési kérése;
- Csoportok esetén: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.
*AssignmentScheduleRequest vagy *EligibilityScheduleRequest objektumok létrehozása írásvédett *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance és *EligibilityScheduleInstance objektumok létrehozásához vezethet.
- *A AssignmentSchedule és a *EligibilitySchedule objektumok a jövőben létrehozandó hozzárendelések és hozzárendelések kéréseit jelenítik meg.
- *A AssignmentScheduleInstance és a *EligibilityScheduleInstance objektumok csak az aktuális hozzárendeléseket jelenítik meg.
Egy jogosult hozzárendelés aktiválásakor (a Create*AssignmentScheduleRequest meghívása megtörtént), a *EligibilityScheduleInstance továbbra is létezik, új *AssignmentSchedule és *AssignmentScheduleInstance objektum jön létre az adott aktivált időtartamhoz.
A hozzárendelési és aktiválási API-kkal kapcsolatos további információkért lásd a PIM API-t a szerepkör-hozzárendelések és jogosultságok kezeléséhez.
PIM-szabályzatok (szerepkör-beállítások)
A PIM-szabályzatok kezeléséhez használja a *roleManagementPolicy és a *roleManagementPolicyAssignment entitásokat:
- A Microsoft Entra-szerepkörökhöz készült PIM for Groups: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
- Azure-erőforrásokhoz készült PIM esetén: szerepkörkezelési szabályzatok, szerepkörkezelési szabályzat-hozzárendelések
A *roleManagementPolicy erőforrás olyan szabályokat tartalmaz, amelyek PIM-szabályzatot alkotnak: jóváhagyási követelmények, maximális aktiválási időtartam, értesítési beállítások stb.
A *roleManagementPolicyAssignment objektum egy adott szerepkörhöz csatolja a szabályzatot.
A szabályzatbeállítások API-kkal kapcsolatos további információkért lásd a szerepkör-beállításokat és a PIM-et.
Permissions
PIM a Microsoft Entra szerepköreihez
A Microsoft Entra-szerepkörökhöz szükséges PIM-hez szükséges Graph API-engedélyekért lásd a szerepkör-kezelési engedélyeket.
PIM Azure-erőforrásokhoz
Az Azure-erőforrásszerepkörökhöz készült PIM API az Azure Resource Manager-keretrendszeren alapul. Hozzájárulást kell adnia az Azure Resource Managementhez, de nincs szüksége Microsoft Graph API-engedélyre. Azt is meg kell győződnie, hogy az API-t hívó felhasználó vagy szolgáltatásnév rendelkezik legalább a felügyelni kívánt erőforrás Tulajdonos vagy Felhasználói hozzáférés Rendszergazda istrator szerepkörével.
PIM csoportokhoz
A csoportokhoz tartozó PIM-hez szükséges Graph API-engedélyekért lásd : PIM for Groups – Engedélyek és jogosultságok.
A PIM-entitások és a szerepkör-hozzárendelési entitások közötti kapcsolat
A PIM-entitás és az állandó (aktív) hozzárendelés szerepkör-hozzárendelési entitása között az egyetlen kapcsolat a Microsoft Entra-szerepkörök vagy az Azure-szerepkörök esetében a *AssignmentScheduleInstance. A két entitás között egy-az-egyhez megfeleltetés van. Ez a leképezés a roleAssignment és a *AssignmentScheduleInstance szerepkört jelenti, amelyek a következők:
- A PIM-en kívül végzett állandó (aktív) hozzárendelések
- Állandó (aktív) hozzárendelések a PIM-ben végzett ütemezéssel
- Aktivált jogosult hozzárendelések
A PIM-specifikus tulajdonságok (például a befejezési idő) csak a *AssignmentScheduleInstance objektumon keresztül érhetők el.