Поделиться через

Тип ресурса servicePrincipal

  • Статья

Пространство имен: microsoft.graph

Представляет экземпляр приложения в каталоге. Наследуется от directoryObject.

Этот ресурс поддерживает отслеживание добавлений, удалений и обновлений с помощью разностного запроса с функцией delta. Этот ресурс относится к открытому типу, который позволяет передавать другие свойства.

Методы

Метод Возвращаемый тип Описание
Список Коллекция servicePrincipal Получение списка объектов servicePrincipal.
Создание servicePrincipal Создание нового объекта servicePrincipal.
получение; servicePrincipal Чтение свойств и связей объекта servicePrincipal.
Обновление servicePrincipal Обновление объекта servicePrincipal.
Upsert servicePrincipal Создайте новый servicePrincipal, если он не существует, или обновите свойства существующего servicePrincipal.
удаление; Нет Удаление объекта servicePrincipal.
Получение разницы Коллекция servicePrincipal Получение добавочных изменений для субъектов-служб.
Список созданных объектов Коллекция directoryObject Получение коллекции объектов createdObject.
Список корпоративных объектов Коллекция directoryObject Получение коллекции объектов ownedObject.
Удаленные элементы
List Коллекция directoryObject Извлечение списка недавно удаленных объектов servicePrincipal.
Получение directoryObject Извлечение свойств недавно удаленного объекта servicePrincipal.
Восстановление directoryObject Восстановление недавно удаленного объекта servicePrincipal.
Удалить без возможности восстановления Нет Окончательное удаление объекта servicePrincipal.
Назначение ролей приложений
Перечисление appRoleAssignments Коллекция appRoleAssignment Получите роли приложения, назначенные этому субъекту-службе.
Добавление объекта appRoleAssignment appRoleAssignment Назначение роли приложения субъекту-службе.
Удаление объекта appRoleAssignment Нет Удаление назначения роли приложения субъекта-службы.
List appRoleAssignedTo Коллекция appRoleAssignment Создание пользователей, ролей и назначенных ролей приложений для этого субъекта-службы.
Add appRoleAssignedTo appRoleAssignment Назначение роли для этого субъекта-службы пользователю, группе или субъекту-службе.
Remove appRoleAssignedTo Нет Удаление назначенной роли этого субъекта-службы у пользователя, группы или субъекта-службы.
Сертификаты и секреты
Добавление пароля passwordCredential Добавление стойкого пароля или секрета в servicePrincipal.
Удаление пароля passwordCredential Удаление пароля или секрета из servicePrincipal.
Добавление ключа keyCredential Добавление учетных данных ключа объекту servicePrincipal.
Удаление ключа Нет Удаление учетных данных ключа объекта servicePrincipal.
Добавление сертификата подписи маркера selfSignedCertificate Добавление самозаверяющего сертификата в субъект-службу. В основном используется для настройки приложений единого входа на основе SAML из коллекции Microsoft Entra.
Классификация делегированных разрешений
List Коллекция delegatedPermissionClassification Получение классификаций для делегированных разрешений, предоставленных этим субъектом-службой.
Добавление delegatedPermissionClassification Добавление классификации для делегированных разрешений, предоставленных этим субъектом-службой.
Remove Нет Удаление классификации для делегированных разрешений, предоставленных этим субъектом-службой.
Делегированные разрешения (OAuth2)
List Коллекция oAuth2PermissionGrant Получите предоставление делегированных разрешений, предоставляющих этому объекту-службе доступ к API от имени пользователя, вошедшего в систему.
Членство.
Перечисление memberOf Коллекция directoryObject Получение групп, непосредственным участником которых является субъект-служба, из свойства навигации memberOf.
Перечисление транзитивного элемента Коллекция directoryObject Перечисление групп, в которых участвует субъект-служба. Эта операция является транзитивной и включает группы, в которых состоит субъект-служба.
Проверка членства в группах Коллекция String Проверка участия в указанном списке групп.
Проверка объектов-членов Коллекция String Проверка участия в указанном списке группы, роли каталога или объектах административных единиц.
Получение групп пользователя Коллекция String Список групп, в которых участвует субъект-служба.
Вывод объектов членства Коллекция String Получение списка групп, административных единиц и ролей каталога, в которых состоит субъект-служба.
Владельцы
List Коллекция directoryObject Получение владельцев субъекта-службы.
Добавление directoryObject Назначьте владельца субъекту-службе. Владельцами субъекта-службы могут быть пользователи или другие субъекты-службы.
Remove Нет Удаление владельца из субъекта-службы. Рекомендуется, чтобы субъекты-службы имели по крайней мере двух владельцев.

Свойства

Важно!

Определенное использование $filter и параметра запроса $search поддерживается только при применении заголовка ConsistencyLevel с присвоенным значением eventual и $count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.

Свойство Тип Описание
accountEnabled Логический Значение true, если учетная запись субъекта-службы включена. В противном случае используется значение false. Если задано значение false, пользователи не смогут войти в это приложение, даже если они назначены ему. Поддерживает $filter (eq, ne, not, in).
addIns Коллекция addIn Определяет пользовательское поведение, которое служба может использовать для вызова приложения в определенных контекстах. Например, приложения, которые способны визуализировать файловые потоки, могут установить свойство addIns для его функции "FileHandler". Это позволяет таким службам, как Microsoft 365, вызывать приложение в контексте документа, над которым работает пользователь.
alternativeNames Коллекция строк Используется для получения субъектов-служб по подписке, идентификации групп ресурсов и полных идентификаторов ресурсов для управляемых удостоверений. Поддерживает $filter (eq, not, ge, le, startsWith).
appDescription Строка Описание, предоставляемое связанным приложением.
appDisplayName String Отображаемое имя, предоставляемое связанным приложением.
appId String Уникальный идентификатор для связанного приложения (его свойство appId). Альтернативный ключ. Поддерживает $filter (eq, ne, not, in, startsWith).
applicationTemplateId Строка Уникальный идентификатор applicationTemplate. Поддерживает $filter (eq, not, ne). Только для чтения. null Значение , если субъект-служба не был создан из шаблона приложения.
appOwnerOrganizationId Guid Содержит идентификатор клиента, в котором зарегистрировано приложение. Применимо только для субъектов-служб на основе приложений. Поддерживает $filter (eq, ne, NOT, ge, le).
appRoleAssignmentRequired Boolean Указывает, нужно ли предоставлять назначение роли пользователям или другим субъектам-службам для этого субъекта-службы, прежде чем пользователи смогут выполнять вход, а приложения — получать маркеры. Значение по умолчанию — false. Значение NULL не допускается.

Поддерживает $filter (eq, ne, NOT).
appRoles Коллекция appRole Роли, предоставляемые приложением, связанным с этим субъектом-службой. Дополнительные сведения см. в определении свойства appRoles для сущности приложения . Значение null не допускается.
customSecurityAttributes customSecurityAttributeValue Открытый сложный тип, который содержит значение настраиваемого атрибута безопасности, назначенного объекту каталога. Допускается значение null.

Возвращается только с помощью оператора $select. Поддерживает $filter (eq, ne, not, startsWith). Значение фильтра учитывает регистр.
  • Чтобы прочитать это свойство, вызывающему приложению должно быть назначено разрешение CustomSecAttributeAssignment.Read.All . Чтобы записать это свойство, вызывающему приложению должны быть назначены разрешения CustomSecAttributeAssignment.ReadWrite.All .
  • Для чтения или записи этого свойства в делегированных сценариях администратору должна быть назначена роль администратора назначения атрибутов .
    		•
    deletedDateTime DateTimeOffset Дата и время удаления субъекта-службы. Только для чтения.
    description String Поле с произвольным текстом для предоставления внутренним пользователям описания субъекта-службы. На порталах конечных пользователей, таких как MyApps , в этом поле отображается описание приложения. Максимальный допустимый размер — 1024 символа. Поддерживает $filter (eq, ne, not, ge, le, startsWith) и $search.
    disabledByMicrosoftStatus Строка Указывает, отключила ли корпорация Майкрософт зарегистрированное приложение. Возможные значения: null (значение по умолчанию), NotDisabled, и DisabledDueToViolationOfServicesAgreement (причины включают подозрительные, оскорбительные или вредоносные действия или нарушение Соглашения об использовании служб Майкрософт).

    Поддерживает $filter (eq, ne, not).
    displayName String Отображаемое имя для субъекта-службы. Поддерживает $filter (eq, ne, not, ge, le, in, startsWith и eq для значений null), $search и $orderby.
    homepage String Главная или начальная страница приложения.
    id String Уникальный идентификатор для субъекта-службы. Наследуется от directoryObject. Ключ. Значение null не допускается. Только для чтения. Поддерживает $filter (eq, ne, not, in).
    info informationalUrl Базовые данные профиля для полученного приложения, такие как URL-адреса маркетинга, поддержки, условий обслуживания и заявления о конфиденциальности. Условия обслуживания и заявление о конфиденциальности отображаются в окне запроса согласия пользователя. Дополнительные сведения см. в разделе Практическое руководство. Добавление условий обслуживания и заявления о конфиденциальности для зарегистрированных Microsoft Entra приложений.

    Поддерживает $filter (eq, ne, not, ge, le и eq для значений null).
    keyCredentials Коллекция keyCredential Коллекция ключевых учетных данных, связанных с субъектом-службой. Значение null не допускается. Поддерживает $filter (eq, not, ge, le).
    loginUrl String Указывает URL-адрес, по которому поставщик услуг перенаправляет пользователя на Microsoft Entra ID для проверки подлинности. Microsoft Entra ID использует URL-адрес для запуска приложения из Microsoft 365 или Microsoft Entra Мои приложения. Если этот параметр не задан, Microsoft Entra ID выполняет вход, инициированный поставщиком удостоверений, для приложений, настроенных с помощью единого входа на основе SAML. Пользователь запускает приложение из Microsoft 365, Microsoft Entra Мои приложения или URL-адреса единого входа Microsoft Entra.
    logoutUrl String Указывает URL-адрес, используемый службой авторизации Майкрософт для выхода пользователя с помощью протоколов front-channel, back-channel или SAML.
    notes String Поле с произвольным текстом для записи сведений о субъекте-службе, обычно применяемых в рабочих целях. Максимальный допустимый размер — 1024 символа.
    notificationEmailAddresses Коллекция строк Указывает список адресов электронной почты, на которые Microsoft Entra ID отправляет уведомление, когда активный сертификат приближается к дате окончания срока действия. Это касается только сертификатов, используемых для подписи маркера SAML, выданного для приложений коллекции Microsoft Entra.
    oauth2PermissionScopes Коллекция permissionScope Делегированные разрешения, предоставляемые приложением. Дополнительные сведения см. в свойстве oauth2PermissionScopes в свойстве API объекта приложения. Значение null не допускается.
    passwordCredentials Коллекция passwordCredential Коллекция учетных данных паролей, связанных с приложением. Значение null не допускается.
    preferredSingleSignOnMode Строка Указывает режим единого входа, настроенный для этого приложения. Microsoft Entra ID использует предпочтительный режим единого входа для запуска приложения из Microsoft 365 или портала Мои приложения. Поддерживаемые значения: password, saml, notSupported и oidc. Заметка: Это поле может быть null для старых приложений SAML и для приложений OIDC, где оно не настраивается автоматически.
    preferredTokenSigningKeyThumbprint String Это свойство можно использовать в приложениях SAML (приложениях, для которых параметр preferredSingleSignOnMode имеет значение saml) для управления сертификатом, используемым для подписывания ответов SAML. Для приложений, которые не являются SAML, не записывайте это свойство и не полагайтесь на нее иным образом.
    replyUrls Коллекция String URL-адреса, которым отправляются маркеры пользователей для входа с помощью связанного приложения, или URI перенаправления, которым отправляются коды авторизации OAuth 2.0 и маркеры доступа для связанного приложения. Значение null не допускается.
    resourceSpecificApplicationPermissions Коллекция resourceSpecificPermission Разрешения приложения для конкретных ресурсов, предоставляемых этим приложением. В настоящее время разрешения для конкретных ресурсов поддерживаются только для приложений Teams, получающих доступ к определенным чатам и командам с помощью Microsoft Graph. Только для чтения.
    samlSingleSignOnSettings samlSingleSignOnSettings Коллекция для параметров, связанных с единым входом SAML.
    ServicePrincipalNames Коллекция объектов string Содержит список объектов identifiersUris, скопированных из связанного объекта application. К гибридным приложениям можно добавить дополнительные значения. Эти значения можно использовать для определения разрешений, предоставляемых этим приложением в Microsoft Entra ID. Пример.
    • Клиентские приложения могут указать URI ресурса, основанный на значениях этого свойства для получения маркера доступа, который является URI, возвращенным в утверждении "aud".

    Оператор "any" требуется для выражений фильтров, применяемых к многозначным свойствам. Значение null не допускается.

    Поддерживает $filter (eq, not, ge, le, startsWith).
    servicePrincipalType Строка Указывает, что представляет субъект-служба: приложение, управляемое удостоверение или устаревшее приложение. Это задается внутренней Microsoft Entra ID. Свойству servicePrincipalType можно присвоить три различных значения:
    • Application — субъект-служба, представляющая приложение или службу. Свойство appId определяет связанную регистрацию приложения и соответствует параметру appId объекта application, возможно, из другого клиента. Если регистрация связанного приложения отсутствует, маркеры не выдаются для субъекта-службы.
    • ManagedIdentity — субъект-служба, представляющая управляемое удостоверение. Субъектам-службам, представляющим управляемые удостоверения, можно предоставить доступ и разрешения, но их нельзя обновить или изменить напрямую.
    • Legacy — субъект-служба, представляющая приложение, созданное до регистрации приложений или с помощью устаревших возможностей. Устаревший субъект-служба может иметь учетные данные, имена субъектов-служб, URL-адреса ответов и другие свойства, которые могут изменяться авторизованным пользователем, но не имеют связанной регистрации приложения. Значение appId не связывает субъект-службу с регистрацией приложения. Субъект-службу можно использовать только в том клиенте, где он был создан.
    • SocialIdp — для внутреннего использования.
    signInAudience String Указывает, учетные записи Майкрософт, которые поддерживаются для текущего приложения. Только для чтения.

    Поддерживаемые значения:
    • AzureADMyOrg: пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra моей организации (с одним клиентом).
    • AzureADMultipleOrgs: пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra организации (мультитенантном).
    • AzureADandPersonalMicrosoftAccount: пользователи с личной учетной записью Майкрософт или рабочей или учебной учетной записью в Microsoft Entra клиенте любой организации.
    • PersonalMicrosoftAccount — пользователи только с личной учетной записью Майкрософт.
    tags Коллекция объектов string Настраиваемые строки, которые можно использовать для классификации и определения субъекта-службы. Значение null не допускается. Значение представляет собой объединение строк, заданных здесь и в свойстве tags связанной сущности приложения.

    Поддерживает $filter (eq, not, ge, le, startsWith).
    tokenEncryptionKeyId String Задает значение открытого ключа keyId из коллекции keyCredentials. После настройки Microsoft Entra ID выдает маркеры для этого приложения, зашифрованные с помощью ключа, указанного этим свойством. Код приложения, получающий зашифрованный маркер, должен использовать соответствующий закрытый ключ для расшифровки маркера, прежде чем его можно будет применить для пользователя, выполнившего вход.
    verifiedPublisher verifiedPublisher Указывает проверенный издатель приложения, связанного с этим субъектом-службой.

    Связи

    Важно!

    Конкретное $filter использование параметра запроса поддерживается только при использовании заголовка ConsistencyLevel и eventual$count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.

    Связь Тип Описание
    appManagementPolicies Коллекция appManagementPolicy Параметр appManagementPolicy, примененный к этому приложению.
    appRoleAssignedTo appRoleAssignment Назначение ролей приложений для приложения или службы, предоставляемых пользователям, группам и другим субъектам-службам. Поддерживает $expand.
    appRoleAssignments Коллекция appRoleAssignment Назначение роли приложения для другого приложения или службы, предоставляемых субъекту-службе. Поддерживает $expand.
    claimsMappingPolicies Коллекция claimsMappingPolicy Типы ресурсов claimsMappingPolicy, назначенные субъекту-службе. Поддерживает $expand.
    createdObjects Коллекция directoryObject Объекты каталога, созданные субъектом-службой. Только для чтения. Допускается значение null.
    federatedIdentityCredentials Коллекция federatedIdentityCredential Федеративные удостоверения для определенного типа субъекта-службы — управляемого удостоверения. Поддерживает $expand и $filter (/$count eq 0, /$count ne 0).
    homeRealmDiscoveryPolicies Коллекция homeRealmDiscoveryPolicy Типы ресурсов homeRealmDiscoveryPolicy, назначенные субъекту-службе. Поддерживает $expand.
    memberOf Коллекция directoryObject Роли, в которых участвует субъект-служба. Методы HTTP: GET. Только для чтения. Допускается значение null. Поддерживает $expand.
    oauth2PermissionGrants Коллекция oAuth2PermissionGrant Предоставленные делегированные разрешения, разрешающие этому субъекту-службе доступ к API от имени пользователя, вошедшего в систему. Только для чтения. Допускается значение null.
    ownedObjects Коллекция directoryObject Объекты каталога, принадлежащие этому субъекту-службе. Только для чтения. Допускается значение null. Поддерживает $expand, $select вложенные в $expand, и $filter (/$count eq 0, /$count ne 0, /$count eq 1, /$count ne 1).
    owners Коллекция directoryObject Объекты каталогов, владеющие этим объектом servicePrincipal. Владельцы — это набор пользователей, не являющихся администраторами, или servicePrincipal, которым разрешено изменять этот объект. Только для чтения. Допускается значение null. Поддерживает $expand, $filter (/$count eq 0, /$count ne 0, /$count eq 1, /$count ne 1), и $select , вложенные в $expand.
    remoteDesktopSecurityConfiguration remoteDesktopSecurityConfiguration Объект remoteDesktopSecurityConfiguration, применяемый к этому субъекту-службе. Поддерживает $filter (eq) для свойства isRemoteDesktopProtocolEnabled .
    синхронизация синхронизация Представляет возможность синхронизации Microsoft Entra удостоверений через API Graph Майкрософт.
    tokenIssuancePolicies Коллекция tokenIssuancePolicy Политики tokenIssuancePoliciy, назначенные этому субъекту-службе.
    tokenLifetimePolicies Коллекция tokenLifetimePolicy Типы ресурсов tokenLifetimePolicy, назначенные субъекту-службе.

    Представление JSON

    В следующем представлении JSON показан тип ресурса.

    {
  "accountEnabled": true,
  "addIns": [{"@odata.type": "microsoft.graph.addIn"}],
  "alternativeNames": ["String"] ,
  "appDisplayName": "String",
  "appId": "String",
  "appOwnerOrganizationId": "Guid",
  "appRoleAssignmentRequired": true,
  "appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
  "customSecurityAttributes": {
    "@odata.type": "microsoft.graph.customSecurityAttributeValue"
  },
  "disabledByMicrosoftStatus": "String",
  "displayName": "String",
  "homepage": "String",
  "id": "String (identifier)",
  "info": {"@odata.type": "microsoft.graph.informationalUrl"},
  "keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
  "logoutUrl": "String",
  "notes": "String",
  "oauth2PermissionScopes": [{"@odata.type": "microsoft.graph.permissionScope"}],
  "passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
  "preferredTokenSigningKeyThumbprint": "String",
  "replyUrls": ["String"],
  "resourceSpecificApplicationPermissions": [{"@odata.type": "microsoft.graph.resourceSpecificPermission"}],
  "servicePrincipalNames": ["String"],
  "servicePrincipalType": "String",
  "tags": ["String"],
  "tokenEncryptionKeyId": "String",
  "verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"}
}