Partilhar via


Criar federatedIdentityCredential

Namespace: microsoft.graph

Crie um novo objeto federatedIdentityCredential para uma aplicação. Ao configurar uma relação de confiança entre a sua Microsoft Entra registo de aplicações e o fornecedor de identidade para a sua plataforma de computação, pode utilizar tokens emitidos por essa plataforma para autenticar com plataforma de identidade da Microsoft e chamar APIs no ecossistema da Microsoft. Pode ser adicionado um máximo de 20 objetos a uma aplicação.

Esta API está disponível nas seguintes implementações de cloud nacionais.

Serviço global US Government L4 US Government L5 (DOD) China operada pela 21Vianet

Permissões

Escolha a permissão ou permissões marcadas como menos privilegiadas para esta API. Utilize uma permissão ou permissões com privilégios mais elevados apenas se a sua aplicação o exigir. Para obter detalhes sobre as permissões delegadas e de aplicação, veja Tipos de permissão. Para saber mais sobre estas permissões, veja a referência de permissões.

Tipo de permissão Permissões com menos privilégios Permissões com privilégios superiores
Delegado (conta corporativa ou de estudante) Application.ReadWrite.All Indisponível.
Delegado (conta pessoal da Microsoft) Application.ReadWrite.All Indisponível.
Application Application.ReadWrite.OwnedBy Application.ReadWrite.All

Solicitação HTTP

Pode abordar a aplicação com o respetivo ID ou appId. O id e o appId são referidos como o ID do Objeto e o ID da Aplicação (Cliente), respetivamente, nos registos de aplicações no centro de administração do Microsoft Entra.

POST /applications/{id}/federatedIdentityCredentials
POST /applications(appId='{appId}')/federatedIdentityCredentials

Cabeçalhos de solicitação

Nome Descrição
Autorização {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização.
Content-Type application/json. Obrigatório.

Corpo da solicitação

No corpo do pedido, forneça uma representação JSON do objeto federatedIdentityCredential .

A tabela seguinte lista as propriedades necessárias quando cria o federatedIdentityCredential.

Propriedade Tipo Descrição
audiências String collection Obrigatório. A audiência que pode aparecer no token externo. Este campo é obrigatório e deve ser definido api://AzureADTokenExchange como para Microsoft Entra ID. Diz o que plataforma de identidade da Microsoft deve aceitar na aud afirmação no token de entrada. Este valor representa Microsoft Entra ID no seu fornecedor de identidade externo e não tem um valor fixo entre fornecedores de identidade. Poderá ter de criar um novo registo de aplicação no seu fornecedor de identidade para servir de audiência deste token. Este campo só pode aceitar um único valor e tem um limite de 600 carateres.
emissor Cadeia de caracteres Obrigatório. O URL do fornecedor de identidade externa e tem de corresponder à afirmação do emissor do token externo que está a ser trocado. A combinação dos valores do emissor e do assunto tem de ser exclusiva na aplicação. Tem um limite de 600 carateres.
nome Cadeia de caracteres Obrigatório. O identificador exclusivo da credencial de identidade federada, que tem um limite de 120 carateres e tem de ser compatível com o URL. É imutável uma vez criado.
assunto Cadeia de caracteres Obrigatório. O identificador da carga de trabalho de software externo no fornecedor de identidade externo. Tal como o valor de audiência, não tem um formato fixo, uma vez que cada fornecedor de identidade utiliza o seu próprio , por vezes um GUID, por vezes um identificador delimitado por dois pontos, por vezes cadeias arbitrárias. O valor aqui tem de corresponder à sub-afirmação no token apresentado ao Microsoft Entra ID. Tem um limite de 600 carateres. A combinação de emissor e assunto tem de ser exclusiva na aplicação.

Resposta

Se for bem-sucedido, este método devolve um 201 Created código de resposta e um objeto federatedIdentityCredential no corpo da resposta.

Exemplos

Solicitação

POST https://graph.microsoft.com/v1.0/applications/bcd7c908-1c4d-4d48-93ee-ff38349a75c8/federatedIdentityCredentials/
Content-Type: application/json

{
    "name": "testing02",
    "issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
    "subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Resposta

Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#applications('bcd7c908-1c4d-4d48-93ee-ff38349a75c8')/federatedIdentityCredentials/$entity",
    "@odata.id": "https://graph.microsoft.com/v2/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/directoryObjects/$/Microsoft.DirectoryServices.Application('bcd7c908-1c4d-4d48-93ee-ff38349a75c8')/federatedIdentityCredentials/d9b7bf1e-429e-4678-8132-9b00c9846cc4",
    "id": "d9b7bf1e-429e-4678-8132-9b00c9846cc4",
    "name": "testing02",
    "issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
    "subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
    "description": null,
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}