Тип ресурса unifiedRolePermission

  • Статья

Пространство имен: microsoft.graph

Представляет коллекцию разрешенных действий ресурсов и условий, которые должны быть выполнены, чтобы действие было разрешено. Действия с ресурсами — это задачи, которые могут выполняться с ресурсом. Например, ресурс приложения может поддерживать действия по созданию, обновлению, удалению и сбросу пароля.

Свойства

Свойство Тип Описание
allowedResourceActions Коллекция строк Набор задач, которые можно выполнять с ресурсом. Обязательно.
Состояние String Необязательные ограничения, которые должны быть выполнены для вступления разрешения в силу. Не поддерживается для пользовательских ролей.
excludedResourceActions Коллекция строк Набор задач, которые могут не выполняться с ресурсом. Пока не поддерживается.

свойство allowedResourceActions

Ниже приведена схема действий с ресурсами.

{Namespace}/{Entity}/{PropertySet}/{Action}

Пример: microsoft.directory/applications/credentials/update.

  • {Пространство имен} — службы, предоставляющие задачу. Например, все задачи в Microsoft Entra ID используют пространство microsoft.directoryимен .
  • {Entity} — логические функции или компоненты, предоставляемые службой в Microsoft Graph. Например, applications, servicePrincipals или groups.
  • {PropertySet} — необязательно. Конкретные свойства или аспекты сущности, для которой предоставляется доступ. Например, microsoft.directory/applications/authentication/read предоставляет возможность чтения URL-адреса ответа, URL-адреса выхода и свойства неявного потока объекта приложения в Microsoft Entra ID. Ниже приведены зарезервированные имена для общих наборов свойств.
    • allProperties — Обозначает все свойства сущности, включая привилегированные свойства. Примеры: microsoft.directory/applications/allProperties/read и microsoft.directory/applications/allProperties/update.
    • basic — обозначает общие свойства чтения, но исключает привилегированные свойства. Например, включает возможность обновления стандартных свойств, microsoft.directory/applications/basic/update таких как отображаемое имя.
    • standard — назначает общие свойства обновления, но исключает привилегированные свойства. Например, microsoft.directory/applications/standard/read.
  • {Actions} — предоставляемые операции. В большинстве случаев разрешения должны быть выражены в терминах операций CRUD или allTasks. Действия:
    • create — возможность создания нового экземпляра сущности.
    • read — возможность чтения заданного набора свойств (включая все свойства).
    • update — возможность обновления заданного набора свойств (включая allProperties).
    • delete — возможность удаления заданной сущности.
    • allTasks — представляет все операции CRUD (создание, чтение, обновление и удаление).

свойство condition

Условия определяют ограничения, которые должны быть выполнены. Например, требование о том, что субъект является владельцем целевого ресурса. Ниже приведены поддерживаемые условия.

  • Self: "@Subject.objectId == @Resource.objectId"
  • Owner: "@Subject.objectId Any_of @Resource.owners"

Ниже приведен пример разрешения роли с условием, что субъект является владельцем целевого ресурса.

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "@Subject.objectId Any_of @Resource.owners"
        }
    ]

Условия для пользовательских ролей не поддерживаются.

Представление JSON

Ниже указано представление ресурса в формате JSON.

{
  "@odata.type": "#microsoft.graph.unifiedRolePermission",
  "allowedResourceActions": ["String"],
  "excludedResourceActions": ["String"],
  "condition": "String"
}

Связанные материалы