Partilhar via


unifiedRolePermission tipo de recurso

Namespace: microsoft.graph

Representa uma coleção de ações de recursos permitidas e as condições que têm de ser cumpridas para que a ação seja permitida. As ações de recursos são tarefas que podem ser executadas num recurso. Por exemplo, um recurso de aplicação pode suportar ações de criação, atualização, eliminação e reposição de palavra-passe.

Propriedades

Propriedade Tipo Descrição
allowedResourceActions String collection Conjunto de tarefas que podem ser executadas num recurso. Obrigatório.
condição Cadeia de caracteres Restrições opcionais que têm de ser cumpridas para que a permissão seja eficaz. Não é suportado para funções personalizadas.
excludedResourceActions String collection Conjunto de tarefas que podem não ser executadas num recurso. Ainda não é suportado.

propriedade allowedResourceActions

Segue-se o esquema para ações de recursos:

{Namespace}/{Entity}/{PropertySet}/{Action}  

Por exemplo: microsoft.directory/applications/credentials/update.

  • {Namespace} - Os serviços que expõem a tarefa. Por exemplo, todas as tarefas no Microsoft Entra ID utilizam o espaço de nomes microsoft.directory.
  • {Entity} - As funcionalidades lógicas ou componentes expostos pelo serviço no Microsoft Graph. Por exemplo, applications, servicePrincipals ou groups.
  • {PropertySet} - Opcional. As propriedades ou aspetos específicos da entidade para a qual o acesso está a ser concedido. Por exemplo, microsoft.directory/applications/authentication/read concede a capacidade de ler o URL de resposta, o URL de fim de sessão e a propriedade de fluxo implícito no objeto da aplicação no Microsoft Entra ID. Seguem-se nomes reservados para conjuntos de propriedades comuns:
    • allProperties - Designa todas as propriedades da entidade, incluindo propriedades privilegiadas. Os exemplos incluem microsoft.directory/applications/allProperties/read e microsoft.directory/applications/allProperties/update.
    • basic - Designa propriedades de leitura comuns, mas exclui as que têm privilégios. Por exemplo, microsoft.directory/applications/basic/update inclui a capacidade de atualizar propriedades padrão, como o nome a apresentar.
    • standard - Designa propriedades de atualização comuns, mas exclui as que têm privilégios. Por exemplo, microsoft.directory/applications/standard/read.
  • {Actions} - As operações que estão a ser concedidas. Na maioria das circunstâncias, as permissões devem ser expressas em termos de operações CRUD ou allTasks. Ações incluem:
    • create - A capacidade de criar uma nova instância da entidade.
    • read - A capacidade de ler um determinado conjunto de propriedades (incluindo allProperties).
    • update - A capacidade de atualizar um determinado conjunto de propriedades (incluindo allProperties).
    • delete - A capacidade de eliminar uma determinada entidade.
    • allTasks - Representa todas as operações CRUD (criar, ler, atualizar e eliminar).

propriedade condition

As condições definem restrições que têm de ser cumpridas. Por exemplo, um requisito de que o principal seja proprietário do recurso de destino. Seguem-se as condições suportadas:

  • Self: "@Subject.objectId == @Resource.objectId"
  • Owner: "@Subject.objectId Any_of @Resource.owners"

Segue-se um exemplo de uma permissão de função com uma condição de que o principal seja o proprietário do recurso de destino.

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "@Subject.objectId Any_of @Resource.owners"
        }
    ]

As condições não são suportadas para funções personalizadas.

Representação JSON

A representação JSON seguinte mostra o tipo de recurso.

{
  "@odata.type": "#microsoft.graph.unifiedRolePermission",
  "allowedResourceActions": ["String"],
  "excludedResourceActions": ["String"],
  "condition": "String"
}