APIs de gerenciamento de identidade privilegiadas

  • Artigo

O Privileged Identity Management (PIM), parte do Microsoft Entra, inclui três provedores:

  • Funções do PIM para Microsoft Entra
  • PIM para os recursos do Azure
  • PIM para Grupos

Você pode gerenciar atribuições no PIM para funções do Microsoft Entra e no PIM para grupos usando a API do Microsoft Graph. Você pode gerenciar atribuições no PIM for Azure Resources usando a API do Azure Resource Manager (ARM). Este artigo descreve conceitos importantes para usar as APIs para o Privileged Identity Management.

Encontre mais detalhes sobre APIs que permitem gerenciar atribuições na documentação:

Histórico da API do PIM

Houve várias iterações da API PIM nos últimos anos. Você encontrará algumas sobreposições na funcionalidade, mas elas não representam uma progressão linear de versões.

Iteração 1 – Preterida

No ponto de extremidade /beta/privilegedRoles, a Microsoft tinha uma versão clássica da API do PIM, que suportava apenas funções do Microsoft Entra e não é mais suportada. O acesso a esta API foi preterido em junho de 2021.

Iteração 2 – Suporta funções do Microsoft Entra e funções de recursos do Azure

No ponto de extremidade, a Microsoft suportava ambos e /beta/privilegedAccess/aadRoles/azureResources. Este ponto de extremidade ainda está disponível em seu locatário, mas a Microsoft recomenda não iniciar qualquer novo desenvolvimento com essa API. Esta API beta nunca será liberada para disponibilidade geral e será eventualmente preterida.

Iteração 3 (Atual) – PIM para funções do Microsoft Entra, grupos na API do Microsoft Graph e recursos do Azure na API ARM

Esta é a iteração final da API do PIM. Inclui:

  • PIM para funções do Microsoft Entra na API do Microsoft Graph - Disponível ao público em geral.
  • Recursos do PIM para Azure na API ARM - Disponível ao público em geral.
  • PIM para grupos na API do Microsoft Graph - Visualização.
  • Alertas do PIM para funções do Microsoft Entra na API do Microsoft Graph - Visualização.
  • Alertas PIM para recursos do Azure na API ARM - Visualização.

Ter funções do PIM para Microsoft Entra na API do Microsoft Graph e PIM para Recursos do Azure na API ARM oferece alguns benefícios, incluindo:

  • Alinhamento da API PIM para API de atribuição de função regular para funções do Microsoft Entra e funções de Recursos do Azure.
  • Reduzir a necessidade de chamar API PIM adicional para integrar um recurso, obter um recurso ou obter definição de função.
  • Suporte a permissões somente para aplicativos.
  • Novos recursos, como aprovação e configuração de notificação por e-mail.

Visão geral da iteração da API PIM 3

As APIs PIM entre provedores (APIs do Microsoft Graph e APIs ARM) seguem os mesmos princípios.

Gestão de tarefas

Para criar atribuição (ativa ou elegível), renovar, estender a atribuição de atualização (ativa ou elegível), ativar atribuição elegível, desativar atribuição elegível, usar recursos *AssignmentScheduleRequest e *EligibilityScheduleRequest:

A criação de objetos *AssignmentScheduleRequest ou *EligibilityScheduleRequest pode levar à criação de objetos *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance e *EligibilityScheduleInstance.

  • *Os objetos AssignmentSchedule e *EligibilitySchedule mostram atribuições atuais e solicitações de atribuições a serem criadas no futuro.
  • *Os objetos AssignmentScheduleInstance e *EligibilityScheduleInstance mostram apenas as atribuições atuais.

Quando uma atribuição elegível é ativada (Create*AssignmentScheduleRequest foi chamado), o *EligibilityScheduleInstance continua a existir, novos objetos *AssignmentSchedule e *AssignmentScheduleInstance serão criados para essa duração ativada.

Para obter mais informações sobre APIs de atribuição e ativação, consulte API PIM para gerenciar atribuições de função e elegibilidades.

Políticas PIM (configurações de função)

Para gerenciar as políticas do PIM, use as entidades *roleManagementPolicy e *roleManagementPolicyAssignment:

O recurso *roleManagementPolicy inclui regras que constituem a política PIM: requisitos de aprovação, duração máxima de ativação, configurações de notificação, etc.

O objeto *roleManagementPolicyAssignment anexa a política a uma função específica.

Para obter mais informações sobre as APIs de configurações de política, consulte configurações de função e PIM.

Permissões

Funções do PIM para Microsoft Entra

Para obter as permissões da API do Graph necessárias para o PIM para funções do Microsoft Entra, consulte Permissões de gerenciamento de função.

PIM para os recursos do Azure

A API PIM para funções de recursos do Azure é desenvolvida sobre a estrutura do Azure Resource Manager. Você precisará dar consentimento ao Gerenciamento de Recursos do Azure, mas não precisará de nenhuma permissão da API do Microsoft Graph. Você também precisará certificar-se de que o usuário ou a entidade de serviço que chama a API tenha pelo menos a função de Proprietário ou Administrador de Acesso de Usuário no recurso que você está tentando administrar.

PIM para Grupos

Para obter as permissões da API do Graph necessárias para o PIM for Groups, consulte PIM for Groups – Permissions and privileges.

Relação entre entidades PIM e entidades de atribuição de função

O único link entre a entidade PIM e a entidade de atribuição de função para atribuição persistente (ativa) para funções do Microsoft Entra ou funções do Azure é o *AssignmentScheduleInstance. Há um mapeamento um-para-um entre as duas entidades. Esse mapeamento significa que roleAssignment e *AssignmentScheduleInstance incluiriam:

  • Atribuições persistentes (ativas) feitas fora do PIM
  • Atribuições persistentes (ativas) com um cronograma feito dentro do PIM
  • Atribuições elegíveis ativadas

As propriedades específicas do PIM, como a hora de término, estarão disponíveis somente por meio do objeto *AssignmentScheduleInstance .

Próximos passos