Тип ресурса unifiedRolePermission
Пространство имен: microsoft.graph
Представляет коллекцию разрешенных действий ресурсов и условий, которые должны быть выполнены, чтобы действие было разрешено. Действия с ресурсами — это задачи, которые могут выполняться с ресурсом. Например, ресурс приложения может поддерживать действия по созданию, обновлению, удалению и сбросу пароля.
Свойства
Свойство | Тип | Описание |
---|---|---|
allowedResourceActions | Коллекция строк | Набор задач, которые можно выполнять с ресурсом. Обязательно. |
состояние | String | Необязательные ограничения, которые должны быть выполнены для вступления разрешения в силу. Не поддерживается для пользовательских ролей. |
excludedResourceActions | Коллекция строк | Набор задач, которые могут не выполняться с ресурсом. Пока не поддерживается. |
свойство allowedResourceActions
Ниже приведена схема действий с ресурсами.
{Namespace}/{Entity}/{PropertySet}/{Action}
Пример: microsoft.directory/applications/credentials/update
.
-
{Пространство имен} — службы, предоставляющие задачу. Например, все задачи в идентификаторе Microsoft Entra используют пространство
microsoft.directory
имен . -
{Entity} — логические функции или компоненты, предоставляемые службой в Microsoft Graph. Например,
applications
,servicePrincipals
илиgroups
. -
{PropertySet} — необязательно. Конкретные свойства или аспекты сущности, для которой предоставляется доступ. Например,
microsoft.directory/applications/authentication/read
предоставляет возможность чтения URL-адреса ответа, URL-адреса выхода и свойства неявного потока объекта приложения в идентификаторе Microsoft Entra. Ниже приведены зарезервированные имена для общих наборов свойств.-
allProperties
— Обозначает все свойства сущности, включая привилегированные свойства. Примеры:microsoft.directory/applications/allProperties/read
иmicrosoft.directory/applications/allProperties/update
. -
basic
— обозначает общие свойства чтения, но исключает привилегированные свойства. Например, включает возможность обновления стандартных свойств,microsoft.directory/applications/basic/update
таких как отображаемое имя. -
standard
— назначает общие свойства обновления, но исключает привилегированные свойства. Например,microsoft.directory/applications/standard/read
.
-
-
{Actions} — предоставляемые операции. В большинстве случаев разрешения должны быть выражены в терминах операций CRUD или
allTasks
. Действия:-
create
— возможность создания нового экземпляра сущности. -
read
— возможность чтения заданного набора свойств (включая все свойства). -
update
— возможность обновления заданного набора свойств (включая allProperties). -
delete
— возможность удаления заданной сущности. -
allTasks
— представляет все операции CRUD (создание, чтение, обновление и удаление).
-
свойство condition
Условия определяют ограничения, которые должны быть выполнены. Например, требование о том, что субъект является владельцем целевого ресурса. Ниже приведены поддерживаемые условия.
-
Self
: "@Subject.objectId == @Resource.objectId" -
Owner
: "@Subject.objectId Any_of @Resource.owners"
Ниже приведен пример разрешения роли с условием, что субъект является владельцем целевого ресурса.
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "@Subject.objectId Any_of @Resource.owners"
}
]
Условия для пользовательских ролей не поддерживаются.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.unifiedRolePermission",
"allowedResourceActions": ["String"],
"excludedResourceActions": ["String"],
"condition": "String"
}
Связанные материалы
- Разрешения роли администратора в Microsoft Entra — сведения о разрешениях для встроенных ролей каталога.
- Подтипы и разрешения регистрации приложений в идентификаторе Microsoft Entra — сведения о разрешениях, доступных для пользовательских ролей каталога.