Partilhar via

APIs de gerenciamento de identidade privilegiadas

  • Artigo

O Privileged Identity Management (PIM), parte do Microsoft Entra, inclui três provedores:

  • Funções do PIM para Microsoft Entra
  • PIM para os recursos do Azure
  • PIM para Grupos

Você pode gerenciar atribuições no PIM para funções do Microsoft Entra e no PIM para grupos usando o Microsoft Graph. Você pode gerenciar atribuições no PIM for Azure Resources usando APIs do Azure Resource Manager. Este artigo descreve conceitos importantes para usar as APIs para o Privileged Identity Management.

Encontre mais detalhes sobre APIs que permitem gerenciar atribuições na documentação:

Histórico da API do PIM

Houve várias iterações das APIs do PIM nos últimos anos. Existem algumas sobreposições na funcionalidade, mas elas não representam uma progressão linear de versões.

Iteração 1 – Preterida

Sob o ponto de extremidade, a /beta/privilegedRoles Microsoft tinha uma versão clássica da API do PIM, que suportava apenas funções do Microsoft Entra e não é mais suportada. O acesso a esta API foi preterido em junho de 2021.

Iteração 2 – Suporta funções do Microsoft Entra e funções de recursos do Azure

No ponto de extremidade, a Microsoft suportava ambos e /beta/privilegedAccess /aadRoles /azureResources. Este ponto de extremidade ainda está disponível em seu locatário, mas a Microsoft recomenda não iniciar qualquer novo desenvolvimento com essa API. Essa API nunca será liberada para disponibilidade geral e, eventualmente, será preterida.

Iteração 3 (Atual) – PIM para funções do Microsoft Entra, grupos na API do Microsoft Graph e recursos do Azure na API ARM

Esta é a iteração final da API PIM. Inclui:

  • PIM para funções do Microsoft Entra na API do Microsoft Graph - Disponível ao público em geral.
  • Recursos do PIM para Azure na API ARM - Disponível ao público em geral.
  • PIM para grupos na API do Microsoft Graph - Disponível ao público em geral.
  • Alertas do PIM para funções do Microsoft Entra na API do Microsoft Graph - Visualização.
  • Alertas PIM para Recursos do Azure na API ARM - Pré-visualização.

Ter funções do PIM para Microsoft Entra na API do Microsoft Graph e PIM para Recursos do Azure na API ARM oferece alguns benefícios, incluindo:

  • Alinhamento das APIs do PIM para atribuição regular de funções para funções do Microsoft Entra e funções de Recursos do Azure.
  • Reduzir a necessidade de chamar outras APIs PIM para integrar um recurso, obter um recurso ou obter definição de função.
  • Suporte a permissões somente para aplicativos.
  • Novos recursos, como aprovação e configuração de notificação por e-mail.

Visão geral da iteração da API PIM 3

As APIs PIM entre provedores (APIs do Microsoft Graph e APIs ARM) seguem os mesmos princípios.

Gestão de tarefas

Para criar atribuição (ativa ou elegível), renovar, estender a atribuição de atualização (ativa ou elegível), ativar atribuição elegível, desativar atribuição qualificada, usar recursos *AssignmentScheduleRequest e *EligibilityScheduleRequest:

A criação de objetos *AssignmentScheduleRequest ou *EligibilityScheduleRequest pode levar à criação de objetos *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance e *EligibilityScheduleInstance .

  • *Os objetos AssignmentSchedule e *EligibilitySchedule mostram atribuições atuais e solicitações de atribuições a serem criadas no futuro.
  • *Os objetos AssignmentScheduleInstance e *EligibilityScheduleInstance mostram apenas as atribuições atuais.

Quando uma atribuição elegível é ativada (Create *AssignmentScheduleRequest foi chamado), o *EligibilityScheduleInstance continua a existir, novos objetos *AssignmentSchedule e *AssignmentScheduleInstance são criados para essa duração ativada.

Para obter mais informações sobre APIs de atribuição e ativação, consulte API PIM para gerenciar atribuições de função e elegibilidades.

Políticas PIM (configurações de função)

Para gerenciar as políticas do PIM, use as entidades *roleManagementPolicy e *roleManagementPolicyAssignment :

O recurso *roleManagementPolicy inclui regras que constituem a política PIM: requisitos de aprovação, duração máxima de ativação, configurações de notificação e assim por diante.

O objeto *roleManagementPolicyAssignment anexa a política a uma função específica.

Para obter mais informações sobre as APIs de configurações de política, consulte configurações de função e PIM.

Permissões

Funções do PIM para Microsoft Entra

Para obter as permissões do Microsoft Graph necessárias para funções do PIM para Microsoft Entra, consulte as páginas de referência da API REST correspondentes.

PIM para os recursos do Azure

As APIs do PIM para funções de recursos do Azure são desenvolvidas sobre a estrutura do Azure Resource Manager. Você precisa consentir com o Gerenciamento de Recursos do Azure, mas não precisa de nenhuma permissão do Microsoft Graph. Você também precisa verificar se o usuário ou a entidade de serviço que chama a API tem pelo menos a função de Proprietário ou Administrador de Acesso de Usuário no recurso que você está tentando administrar.

PIM para Grupos

Para obter as permissões do Microsoft Graph necessárias para o PIM for Groups, consulte as páginas de referência da API REST correspondentes.

Relação entre entidades PIM e entidades de atribuição de função

O único link entre a entidade PIM e a entidade de atribuição de função para atribuição persistente (ativa) para funções do Microsoft Entra ou funções do Azure é o *AssignmentScheduleInstance. Há um mapeamento um-para-um entre as duas entidades. Esse mapeamento significa que roleAssignment e *AssignmentScheduleInstance incluiriam:

  • Atribuições persistentes (ativas) feitas fora do PIM
  • Atribuições persistentes (ativas) com um cronograma feito dentro do PIM
  • Atribuições elegíveis ativadas

As propriedades específicas do PIM, como a hora de término, estarão disponíveis somente por meio do objeto *AssignmentScheduleInstance .

Próximos passos