Privileged Identity Management API-k

A Microsoft Entra részét képező Privileged Identity Management (PIM) három szolgáltatót tartalmaz:

• PIM a Microsoft Entra szerepköreihez
• PIM Azure-erőforrásokhoz
• PIM csoportokhoz

A Microsoft Entra-szerepkörökhöz tartozó PIM-ben és a csoportokhoz készült PIM-ben a Microsoft Graph használatával kezelheti a feladatokat. Az Azure-erőforrásokhoz készült PIM-ben az Azure Resource Manager API-k használatával kezelheti a hozzárendeléseket. Ez a cikk a Privileged Identity Management API-k használatának fontos fogalmait ismerteti.

A hozzárendelések kezelését lehetővé tevő API-kkal kapcsolatos további információk a dokumentációban találhatók:

• A Microsoft Entra-szerepkörökHÖZ készült PIM API-referencia
• AZ Azure-erőforrásszerepkörökHÖZ készült PIM API-referencia
• PIM for Groups API-referencia
• PIM-riasztások a Microsoft Entra-szerepkörök API-referenciáihoz
• PIM-riasztások az Azure Resources API-ra vonatkozó referenciaként

A PIM API előzményei

Az elmúlt néhány évben számos iteráció történt a PIM API-kban. Vannak átfedések a funkciókban, de nem a verziók lineáris előrehaladását jelölik.

Iteráció 1 – Elavult

A végpont alatt a /beta/privilegedRoles Microsoft rendelkezik a PIM API klasszikus verziójával, amely csak a Microsoft Entra szerepköröket támogatja, és már nem támogatott. Az API-hoz való hozzáférés 2021 júniusában elavult.

2. iteráció – Támogatja a Microsoft Entra-szerepköröket és az Azure-erőforrásszerepköröket

A végpont alatt a Microsoft mind /aadRoles /azureResourcesa /beta/privilegedAccess . Ez a végpont továbbra is elérhető a bérlőben, de a Microsoft azt javasolja, hogy ne kezdjen új fejlesztéseket ezzel az API-val. Ez az API soha nem lesz általánosan elérhető, és végül elavult lesz.

Iteration 3 (Current) – PIM a Microsoft Entra szerepkörökhöz, a Microsoft Graph API csoportjaihoz és az ARM API-beli Azure-erőforrásokhoz

Ez a PIM API végső iterációja. Tartalma:

• PiM for Microsoft Entra szerepkörök a Microsoft Graph API-ban – Általánosan elérhető.
• AZ AZURE-erőforrásokHOZ készült PIM az ARM API-ban – Általánosan elérhető.
• PIM csoportokhoz a Microsoft Graph API-ban – Általánosan elérhető.
• PIM-riasztások a Microsoft Entra szerepkörökhöz a Microsoft Graph API-ban – előzetes verzió.
• PIM-riasztások az Azure-erőforrásokhoz az ARM API-ban – előzetes verzió.

A Microsoft Entra-szerepkörökhöz készült PIM a Microsoft Graph API-ban és az Azure-erőforrásokHOZ készült PIM az ARM API-ban néhány előnnyel jár, például:

• A PIM API-k igazítása a Microsoft Entra-szerepkörök és az Azure Resource-szerepkörök rendszeres szerepkör-hozzárendeléséhez.
• Az erőforrások előkészítéséhez, erőforrás lekéréséhez vagy szerepkördefiníció lekéréséhez más PIM API-k meghívásának szükségletének csökkentése.
• Csak alkalmazásengedélyek támogatása.
• Új funkciók, például jóváhagyás és e-mail-értesítés konfigurálása.

A PIM API iterációjának áttekintése 3

A SZOLGÁLTATÓK KÖZÖTTI PIM API-k (Mind a Microsoft Graph API-k, mind az ARM API-k) ugyanazokat az alapelveket követik.

Hozzárendelések kezelése

Hozzárendelés (aktív vagy jogosult) létrehozásához, megújításához, meghosszabbításához, frissítési hozzárendelés (aktív vagy jogosult) aktiválásához, jogosult hozzárendelés aktiválásához, jogosult hozzárendelés inaktiválásához, erőforrások használatához *AssignmentScheduleRequest és *EligibilityScheduleRequest:

• Microsoft Entra-szerepkörök esetén: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
• Azure-erőforrások esetén: Szerepkör-hozzárendelés ütemezési kérése, Szerepkör-jogosultság ütemezési kérése;
• Csoportok esetén: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.

*AssignmentScheduleRequest vagy *EligibilityScheduleRequest objektumok létrehozása írásvédett *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance és *EligibilityScheduleInstance objektumok létrehozásához vezethet.

• *A AssignmentSchedule és a *EligibilitySchedule objektumok a jövőben létrehozandó hozzárendelések és hozzárendelések kéréseit jelenítik meg.
• *A AssignmentScheduleInstance és a *EligibilityScheduleInstance objektumok csak az aktuális hozzárendeléseket jelenítik meg.

Egy jogosult hozzárendelés aktiválása (a *AssignmentScheduleRequest létrehozása meghívva volt), a *EligibilityScheduleInstance továbbra is létezik, új *AssignmentSchedule és *AssignmentScheduleInstance objektum jön létre az adott aktivált időtartamhoz.

A hozzárendelési és aktiválási API-kkal kapcsolatos további információkért lásd a PIM API-t a szerepkör-hozzárendelések és jogosultságok kezeléséhez.

PIM-szabályzatok (szerepkör-beállítások)

A PIM-szabályzatok kezeléséhez használja a *roleManagementPolicy és a *roleManagementPolicyAssignment entitásokat:

• A Microsoft Entra-szerepkörökhöz készült PIM for Groups: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
• Azure-erőforrásokhoz készült PIM esetén: szerepkörkezelési szabályzatok, szerepkörkezelési szabályzat-hozzárendelések

A *roleManagementPolicy erőforrás olyan szabályokat tartalmaz, amelyek PIM-szabályzatot alkotnak: jóváhagyási követelmények, maximális aktiválási időtartam, értesítési beállítások stb.

A *roleManagementPolicyAssignment objektum egy adott szerepkörhöz csatolja a szabályzatot.

A szabályzatbeállítások API-kkal kapcsolatos további információkért lásd a szerepkör-beállításokat és a PIM-et.

Engedélyek

PIM a Microsoft Entra szerepköreihez

A Microsoft Entra-szerepkörökHÖZ szükséges PIM-hez szükséges Microsoft Graph-engedélyekért tekintse meg a megfelelő REST API-referenciaoldalakat.

PIM Azure-erőforrásokhoz

Az Azure-erőforrásszerepkörök PIM API-jait az Azure Resource Manager-keretrendszeren felül fejlesztik. Hozzá kell adnia az Azure Resource Managementet, de nincs szüksége Microsoft Graph-engedélyekre. Azt is meg kell győződnie, hogy az API-t hívó felhasználó vagy szolgáltatásnév rendelkezik legalább tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörsel a felügyelni kívánt erőforráson.

PIM csoportokhoz

A csoportokhoz készült PIM-hez szükséges Microsoft Graph-engedélyekért tekintse meg a megfelelő REST API-referenciaoldalakat.

A PIM-entitások és a szerepkör-hozzárendelési entitások közötti kapcsolat

A PIM-entitás és az állandó (aktív) hozzárendelés szerepkör-hozzárendelési entitása között az egyetlen kapcsolat a Microsoft Entra-szerepkörök vagy az Azure-szerepkörök esetében a *AssignmentScheduleInstance. A két entitás között egy-az-egyhez megfeleltetés van. Ez a leképezés a roleAssignment és a *AssignmentScheduleInstance szerepkört jelenti, amelyek a következők:

• A PIM-en kívül végzett állandó (aktív) hozzárendelések
• Állandó (aktív) hozzárendelések a PIM-ben végzett ütemezéssel
• Aktivált jogosult hozzárendelések

A PIM-specifikus tulajdonságok (például a befejezési idő) csak a *AssignmentScheduleInstance objektumon keresztül érhetők el.

Következő lépések

• Microsoft Entra Privileged Identity Management API-referencia