API Privileged Identity Management

  • Artikel

Privileged Identity Management (PIM), bagian dari Microsoft Entra, mencakup tiga penyedia:

  • PIM untuk peran Microsoft Entra
  • PIM untuk sumber daya Azure
  • PIM untuk Grup

Anda dapat mengelola tugas di PIM untuk peran Microsoft Entra dan PIM untuk Grup menggunakan Microsoft Graph API. Anda dapat mengelola penugasan di PIM untuk Sumber Daya Azure menggunakan API Azure Resource Manager (ARM). Artikel ini menjelaskan konsep penting untuk menggunakan API untuk Privileged Identity Management.

Temukan detail selengkapnya tentang API yang memungkinkan untuk mengelola penugasan dalam dokumentasi:

Riwayat PIM API

Ada beberapa iterasi PIM API selama beberapa tahun terakhir. Anda akan menemukan beberapa tumpang tindih dalam fungsi, tetapi tidak mewakili perkembangan versi yang linier.

Iterasi 1 – Tidak digunakan lagi

Di bawah titik akhir /beta/privilegedRoles, Microsoft memiliki versi klasik API PIM, yang hanya mendukung peran Microsoft Entra dan tidak lagi didukung. Akses ke API ini tidak digunakan lagi pada Juni 2021.

Iterasi 2 – Mendukung peran Microsoft Entra dan peran sumber daya Azure

Di bawah titik akhir /beta/privilegedAccess, Microsoft mendukung /aadRoles dan /azureResources. Titik akhir ini masih tersedia di penyewa Anda, tetapi Microsoft merekomendasikan untuk tidak memulai pengembangan baru dengan API ini. API beta ini tidak akan pernah dirilis ke ketersediaan umum dan pada akhirnya akan dihentikan.

Iterasi 3 (Saat Ini) – PIM untuk peran Microsoft Entra, grup di Microsoft Graph API, dan untuk sumber daya Azure di ARM API

Ini adalah iterasi akhir DARI API PIM. Ini termasuk:

  • PIM untuk peran Microsoft Entra di Microsoft Graph API - Umumnya tersedia.
  • PIM untuk sumber daya Azure di ARM API - Umumnya tersedia.
  • PIM untuk grup di Microsoft Graph API - Pratinjau.
  • Pemberitahuan PIM untuk peran Microsoft Entra di Microsoft Graph API - Pratinjau.
  • Pemberitahuan PIM untuk Sumber Daya Azure di ARM API - Pratinjau.

Memiliki PERAN PIM untuk Microsoft Entra di Microsoft Graph API dan PIM untuk Sumber Daya Azure di ARM API memberikan beberapa manfaat termasuk:

  • Penyelarasan API PIM untuk API penetapan peran reguler untuk peran Microsoft Entra dan peran Azure Resource.
  • Mengurangi kebutuhan untuk memanggil PIM API tambahan untuk onboarding sumber daya, mendapatkan sumber daya, atau mendapatkan definisi peran.
  • Mendukung izin khusus aplikasi.
  • Fitur baru seperti persetujuan dan konfigurasi pemberitahuan email.

Gambaran umum iterasi API PIM 3

API PIM di seluruh penyedia (API Microsoft Graph dan API ARM) mengikuti prinsip yang sama.

Manajemen penugasan

Untuk membuat penugasan (aktif atau memenuhi syarat), memperpanjang, memperluas, penetapan pembaruan (aktif atau memenuhi syarat), aktifkan penugasan yang memenuhi syarat, nonaktifkan penugasan yang memenuhi syarat, gunakan sumber daya *AssignmentScheduleRequest dan *EligibilityScheduleRequest:

Pembuatan objek *AssignmentScheduleRequest atau *EligibilityScheduleRequest dapat menyebabkan pembuatan objek baca-saja *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance, dan *EligibilityScheduleInstance.

  • *Objek AssignmentSchedule dan *EligibilitySchedule menunjukkan penugasan saat ini dan permintaan penugasan yang akan dibuat di masa mendatang.
  • *Objek AssignmentScheduleInstance dan *EligibilityScheduleInstance hanya menampilkan tugas saat ini.

Ketika tugas yang memenuhi syarat diaktifkan (Create*AssignmentScheduleRequest dipanggil), *EligibilityScheduleInstance terus ada, baru *AssignmentSchedule dan objek *AssignmentScheduleInstance akan dibuat untuk durasi yang diaktifkan tersebut.

Untuk informasi selengkapnya tentang API penugasan dan aktivasi, lihat API PIM untuk mengelola penetapan peran dan kelayakan.

Kebijakan PIM (pengaturan peran)

Untuk mengelola kebijakan PIM, gunakan entitas *roleManagementPolicy dan *roleManagementPolicyAssignment :

Sumber daya *roleManagementPolicy mencakup aturan yang merupakan kebijakan PIM: persyaratan persetujuan, durasi aktivasi maksimum, pengaturan pemberitahuan, dll.

Objek *roleManagementPolicyAssignment melampirkan kebijakan ke peran tertentu.

Untuk informasi selengkapnya tentang API pengaturan kebijakan, lihat pengaturan peran dan PIM.

Izin

PIM untuk peran Microsoft Entra

Untuk izin Graph API yang diperlukan untuk PIM untuk peran Microsoft Entra, lihat Izin manajemen peran.

PIM untuk sumber daya Azure

PIM API untuk peran sumber daya Azure dikembangkan berdasarkan kerangka kerja Azure Resource Manager. Anda harus memberikan persetujuan kepada Azure Resource Management tetapi tidak memerlukan izin Microsoft Graph API. Anda juga perlu memastikan pengguna atau perwakilan layanan yang memanggil API memiliki setidaknya peran Pemilik atau Administrator Akses Pengguna pada sumber daya yang ingin Anda berikan.

PIM untuk Grup

Untuk izin Graph API yang diperlukan untuk PIM untuk Grup, lihat PIM untuk Grup – Izin dan hak istimewa.

Hubungan antara entitas PIM dan entitas penugasan peran

Satu-satunya tautan antara entitas PIM dan entitas penetapan peran untuk penetapan persisten (aktif) untuk peran Microsoft Entra atau peran Azure adalah *AssignmentScheduleInstance. Ada pemetaan satu-ke-satu antara dua entitas. Pemetaan itu berarti roleAssignment dan *AssignmentScheduleInstance keduanya akan mencakup:

  • Penugasan persisten (aktif) yang dibuat di luar PIM
  • Penugasan persisten (aktif) dengan jadwal yang dibuat di dalam PIM
  • Penugasan yang memenuhi syarat yang diaktifkan

Properti khusus PIM (seperti waktu akhir) hanya akan tersedia melalui *Objek AssignmentScheduleInstance .

Langkah berikutnya