Privileged Identity Management API-k
A Microsoft Entra részét képező Privileged Identity Management (PIM) három szolgáltatót tartalmaz:
- PIM a Microsoft Entra szerepköreihez
- PIM Azure-erőforrásokhoz
- PIM csoportokhoz
A Microsoft Entra-szerepkörökhöz tartozó PIM-ben és a csoportokhoz készült PIM-ben a Microsoft Graph használatával kezelheti a feladatokat. Az Azure-erőforrásokhoz készült PIM-ben az Azure Resource Manager API-k használatával kezelheti a hozzárendeléseket. Ez a cikk a Privileged Identity Management API-k használatának fontos fogalmait ismerteti.
A hozzárendelések kezelését lehetővé tevő API-kkal kapcsolatos további információk a dokumentációban találhatók:
- A Microsoft Entra-szerepkörökHÖZ készült PIM API-referencia
- AZ Azure-erőforrásszerepkörökHÖZ készült PIM API-referencia
- PIM for Groups API-referencia
- PIM-riasztások a Microsoft Entra-szerepkörök API-referenciáihoz
- PIM-riasztások az Azure Resources API-ra vonatkozó referenciaként
A PIM API előzményei
Az elmúlt néhány évben számos iteráció történt a PIM API-kban. Vannak átfedések a funkciókban, de nem a verziók lineáris előrehaladását jelölik.
Iteráció 1 – Elavult
A végpont alatt a /beta/privilegedRoles Microsoft rendelkezik a PIM API klasszikus verziójával, amely csak a Microsoft Entra szerepköröket támogatja, és már nem támogatott. Az API-hoz való hozzáférés 2021 júniusában elavult.
2. iteráció – Támogatja a Microsoft Entra-szerepköröket és az Azure-erőforrásszerepköröket
A végpont alatt a Microsoft mind /aadRoles /azureResourcesa /beta/privilegedAccess . Ez a végpont továbbra is elérhető a bérlőben, de a Microsoft azt javasolja, hogy ne kezdjen új fejlesztéseket ezzel az API-val. Ez az API soha nem lesz általánosan elérhető, és végül elavult lesz.
Iteration 3 (Current) – PIM a Microsoft Entra szerepkörökhöz, a Microsoft Graph API csoportjaihoz és az ARM API-beli Azure-erőforrásokhoz
Ez a PIM API végső iterációja. Tartalma:
- PiM for Microsoft Entra szerepkörök a Microsoft Graph API-ban – Általánosan elérhető.
- AZ AZURE-erőforrásokHOZ készült PIM az ARM API-ban – Általánosan elérhető.
- PIM csoportokhoz a Microsoft Graph API-ban – Általánosan elérhető.
- PIM-riasztások a Microsoft Entra szerepkörökhöz a Microsoft Graph API-ban – előzetes verzió.
- PIM-riasztások az Azure-erőforrásokhoz az ARM API-ban – előzetes verzió.
A Microsoft Entra-szerepkörökhöz készült PIM a Microsoft Graph API-ban és az Azure-erőforrásokHOZ készült PIM az ARM API-ban néhány előnnyel jár, például:
- A PIM API-k igazítása a Microsoft Entra-szerepkörök és az Azure Resource-szerepkörök rendszeres szerepkör-hozzárendeléséhez.
- Az erőforrások előkészítéséhez, erőforrás lekéréséhez vagy szerepkördefiníció lekéréséhez más PIM API-k meghívásának szükségletének csökkentése.
- Csak alkalmazásengedélyek támogatása.
- Új funkciók, például jóváhagyás és e-mail-értesítés konfigurálása.
A PIM API iterációjának áttekintése 3
A SZOLGÁLTATÓK KÖZÖTTI PIM API-k (Mind a Microsoft Graph API-k, mind az ARM API-k) ugyanazokat az alapelveket követik.
Hozzárendelések kezelése
Hozzárendelés (aktív vagy jogosult) létrehozásához, megújításához, meghosszabbításához, frissítési hozzárendelés (aktív vagy jogosult) aktiválásához, jogosult hozzárendelés aktiválásához, jogosult hozzárendelés inaktiválásához, erőforrások használatához *AssignmentScheduleRequest és *EligibilityScheduleRequest:
- Microsoft Entra-szerepkörök esetén: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
- Azure-erőforrások esetén: Szerepkör-hozzárendelés ütemezési kérése, Szerepkör-jogosultság ütemezési kérése;
- Csoportok esetén: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.
*AssignmentScheduleRequest vagy *EligibilityScheduleRequest objektumok létrehozása írásvédett *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance és *EligibilityScheduleInstance objektumok létrehozásához vezethet.
- *A AssignmentSchedule és a *EligibilitySchedule objektumok a jövőben létrehozandó hozzárendelések és hozzárendelések kéréseit jelenítik meg.
- *A AssignmentScheduleInstance és a *EligibilityScheduleInstance objektumok csak az aktuális hozzárendeléseket jelenítik meg.
Egy jogosult hozzárendelés aktiválása (a *AssignmentScheduleRequest létrehozása meghívva volt), a *EligibilityScheduleInstance továbbra is létezik, új *AssignmentSchedule és *AssignmentScheduleInstance objektum jön létre az adott aktivált időtartamhoz.
A hozzárendelési és aktiválási API-kkal kapcsolatos további információkért lásd a PIM API-t a szerepkör-hozzárendelések és jogosultságok kezeléséhez.
PIM-szabályzatok (szerepkör-beállítások)
A PIM-szabályzatok kezeléséhez használja a *roleManagementPolicy és a *roleManagementPolicyAssignment entitásokat:
- A Microsoft Entra-szerepkörökhöz készült PIM for Groups: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
- Azure-erőforrásokhoz készült PIM esetén: szerepkörkezelési szabályzatok, szerepkörkezelési szabályzat-hozzárendelések
A *roleManagementPolicy erőforrás olyan szabályokat tartalmaz, amelyek PIM-szabályzatot alkotnak: jóváhagyási követelmények, maximális aktiválási időtartam, értesítési beállítások stb.
A *roleManagementPolicyAssignment objektum egy adott szerepkörhöz csatolja a szabályzatot.
A szabályzatbeállítások API-kkal kapcsolatos további információkért lásd a szerepkör-beállításokat és a PIM-et.
Engedélyek
PIM a Microsoft Entra szerepköreihez
A Microsoft Entra-szerepkörökHÖZ szükséges PIM-hez szükséges Microsoft Graph-engedélyekért tekintse meg a megfelelő REST API-referenciaoldalakat.
PIM Azure-erőforrásokhoz
Az Azure-erőforrásszerepkörök PIM API-jait az Azure Resource Manager-keretrendszeren felül fejlesztik. Hozzá kell adnia az Azure Resource Managementet, de nincs szüksége Microsoft Graph-engedélyekre. Azt is meg kell győződnie, hogy az API-t hívó felhasználó vagy szolgáltatásnév rendelkezik legalább tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörsel a felügyelni kívánt erőforráson.
PIM csoportokhoz
A csoportokhoz készült PIM-hez szükséges Microsoft Graph-engedélyekért tekintse meg a megfelelő REST API-referenciaoldalakat.
A PIM-entitások és a szerepkör-hozzárendelési entitások közötti kapcsolat
A PIM-entitás és az állandó (aktív) hozzárendelés szerepkör-hozzárendelési entitása között az egyetlen kapcsolat a Microsoft Entra-szerepkörök vagy az Azure-szerepkörök esetében a *AssignmentScheduleInstance. A két entitás között egy-az-egyhez megfeleltetés van. Ez a leképezés a roleAssignment és a *AssignmentScheduleInstance szerepkört jelenti, amelyek a következők:
- A PIM-en kívül végzett állandó (aktív) hozzárendelések
- Állandó (aktív) hozzárendelések a PIM-ben végzett ütemezéssel
- Aktivált jogosult hozzárendelések
A PIM-specifikus tulajdonságok (például a befejezési idő) csak a *AssignmentScheduleInstance objektumon keresztül érhetők el.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: