Bagikan melalui

API Privileged Identity Management

  • Artikel

Privileged Identity Management (PIM), bagian dari Microsoft Entra, mencakup tiga penyedia:

  • PIM untuk peran Microsoft Entra
  • PIM untuk sumber daya Azure
  • PIM untuk Grup

Anda dapat mengelola tugas di PIM untuk peran Microsoft Entra dan PIM untuk Grup menggunakan Microsoft Graph. Anda dapat mengelola penugasan di PIM untuk Sumber Daya Azure menggunakan API Azure Resource Manager. Artikel ini menjelaskan konsep penting untuk menggunakan API untuk Privileged Identity Management.

Temukan detail selengkapnya tentang API yang memungkinkan untuk mengelola penugasan dalam dokumentasi:

Riwayat PIM API

Ada beberapa iterasi API PIM selama beberapa tahun terakhir. Ada beberapa tumpang tindih dalam fungsionalitas, tetapi tidak mewakili perkembangan versi linier.

Iterasi 1 – Tidak digunakan lagi

/beta/privilegedRoles Di bawah titik akhir, Microsoft memiliki versi klasik API PIM, yang hanya mendukung peran Microsoft Entra dan tidak lagi didukung. Akses ke API ini tidak digunakan lagi pada Juni 2021.

Iterasi 2 – Mendukung peran Microsoft Entra dan peran sumber daya Azure

Di bawah titik akhir /beta/privilegedAccess, Microsoft mendukung /aadRoles dan /azureResources. Titik akhir ini masih tersedia di penyewa Anda, tetapi Microsoft merekomendasikan untuk tidak memulai pengembangan baru dengan API ini. API ini tidak akan pernah dirilis ke ketersediaan umum dan pada akhirnya tidak akan digunakan lagi.

Iterasi 3 (Saat Ini) – PIM untuk peran Microsoft Entra, grup di Microsoft Graph API, dan untuk sumber daya Azure di ARM API

Ini adalah iterasi akhir DARI API PIM. Ini termasuk:

  • PIM untuk peran Microsoft Entra di Microsoft Graph API - Umumnya tersedia.
  • PIM untuk sumber daya Azure di ARM API - Umumnya tersedia.
  • PIM untuk grup di Microsoft Graph API - Tersedia secara umum.
  • Pemberitahuan PIM untuk peran Microsoft Entra di Microsoft Graph API - Pratinjau.
  • Pemberitahuan PIM untuk Sumber Daya Azure di ARM API - Pratinjau.

Memiliki PERAN PIM untuk Microsoft Entra di Microsoft Graph API dan PIM untuk Sumber Daya Azure di ARM API memberikan beberapa manfaat termasuk:

  • Perataan API PIM untuk penetapan peran reguler untuk peran Microsoft Entra dan peran Azure Resource.
  • Mengurangi kebutuhan untuk memanggil API PIM lain untuk onboarding sumber daya, mendapatkan sumber daya, atau mendapatkan definisi peran.
  • Mendukung izin khusus aplikasi.
  • Fitur baru seperti persetujuan dan konfigurasi pemberitahuan email.

Gambaran umum iterasi API PIM 3

API PIM di seluruh penyedia (API Microsoft Graph dan API ARM) mengikuti prinsip yang sama.

Manajemen penugasan

Untuk membuat penugasan (aktif atau memenuhi syarat), memperpanjang, memperluas, penetapan pembaruan (aktif atau memenuhi syarat), aktifkan penugasan yang memenuhi syarat, nonaktifkan penugasan yang memenuhi syarat, gunakan sumber daya *AssignmentScheduleRequest dan *EligibilityScheduleRequest:

Pembuatan objek *AssignmentScheduleRequest atau *EligibilityScheduleRequest dapat menyebabkan pembuatan objek baca-saja *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance, dan *EligibilityScheduleInstance.

  • *Objek AssignmentSchedule dan *EligibilitySchedule menunjukkan penugasan saat ini dan permintaan penugasan yang akan dibuat di masa mendatang.
  • *Objek AssignmentScheduleInstance dan *EligibilityScheduleInstance hanya menampilkan tugas saat ini.

Ketika tugas yang memenuhi syarat diaktifkan (Buat *AssignmentScheduleRequest dipanggil), *EligibilityScheduleInstance terus ada, baru *AssignmentSchedule dan objek *AssignmentScheduleInstance dibuat untuk durasi yang diaktifkan tersebut.

Untuk informasi selengkapnya tentang API penugasan dan aktivasi, lihat API PIM untuk mengelola penetapan peran dan kelayakan.

Kebijakan PIM (pengaturan peran)

Untuk mengelola kebijakan PIM, gunakan entitas *roleManagementPolicy dan *roleManagementPolicyAssignment :

Sumber daya *roleManagementPolicy mencakup aturan yang merupakan kebijakan PIM: persyaratan persetujuan, durasi aktivasi maksimum, pengaturan pemberitahuan, dan sebagainya.

Objek *roleManagementPolicyAssignment melampirkan kebijakan ke peran tertentu.

Untuk informasi selengkapnya tentang API pengaturan kebijakan, lihat pengaturan peran dan PIM.

Izin

PIM untuk peran Microsoft Entra

Untuk izin Microsoft Graph yang diperlukan untuk PIM untuk peran Microsoft Entra, lihat halaman referensi REST API yang sesuai.

PIM untuk sumber daya Azure

API PIM untuk peran sumber daya Azure dikembangkan di atas kerangka kerja Azure Resource Manager. Anda perlu menyetujui Azure Resource Management tetapi tidak memerlukan izin Microsoft Graph apa pun. Anda juga perlu memastikan pengguna atau perwakilan layanan yang memanggil API memiliki setidaknya peran Pemilik atau Administrator Akses Pengguna pada sumber daya yang ingin Anda kelola.

PIM untuk Grup

Untuk izin Microsoft Graph yang diperlukan untuk PIM untuk Grup, lihat halaman referensi REST API yang sesuai.

Hubungan antara entitas PIM dan entitas penugasan peran

Satu-satunya tautan antara entitas PIM dan entitas penetapan peran untuk penetapan persisten (aktif) untuk peran Microsoft Entra atau peran Azure adalah *AssignmentScheduleInstance. Ada pemetaan satu-ke-satu antara dua entitas. Pemetaan itu berarti roleAssignment dan *AssignmentScheduleInstance keduanya akan mencakup:

  • Penugasan persisten (aktif) yang dibuat di luar PIM
  • Penugasan persisten (aktif) dengan jadwal yang dibuat di dalam PIM
  • Penugasan yang memenuhi syarat yang diaktifkan

Properti khusus PIM (seperti waktu akhir) hanya akan tersedia melalui *Objek AssignmentScheduleInstance .

Langkah berikutnya