Тип ресурса unifiedRolePermission
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Представляет коллекцию разрешенных действий ресурсов и условий, которые должны быть выполнены, чтобы действие было эффективным. Действия с ресурсами — это задачи, которые могут выполняться с ресурсом. Например, ресурс приложения поддерживает действия по созданию, обновлению, удалению и сбросу пароля.
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| allowedResourceActions | Коллекция строк | Набор задач, которые можно выполнять с ресурсом. |
| состояние | String | Необязательные ограничения, которые должны быть выполнены для вступления разрешения в силу. Не поддерживается для пользовательских ролей. |
свойство allowedResourceActions
Ниже приведена схема действий с ресурсами.
{Namespace}/{Entity}/{PropertySet}/{Action}
Пример: microsoft.directory/applications/credentials/update.
-
{Пространство имен} — службы, предоставляющие задачу. Например, все задачи в идентификаторе Microsoft Entra используют пространство
microsoft.directoryимен . -
{Entity} — логические функции или компоненты, предоставляемые службой в Microsoft Graph. Например,
applications,servicePrincipalsилиgroups. -
{PropertySet} — необязательно. Конкретные свойства или аспекты сущности, для которой предоставляется доступ. Например,
microsoft.directory/applications/authentication/readпредоставляет возможность чтения URL-адреса ответа, URL-адреса выхода и свойства неявного потока объекта приложения в идентификаторе Microsoft Entra. Ниже приведены зарезервированные имена для общих наборов свойств.-
allProperties— Обозначает все свойства сущности, включая привилегированные свойства. Примеры:microsoft.directory/applications/allProperties/readиmicrosoft.directory/applications/allProperties/update. -
basic— обозначает общие свойства чтения, но исключает привилегированные свойства. Например, включает возможность обновления стандартных свойств,microsoft.directory/applications/basic/updateтаких как отображаемое имя. -
standard— назначает общие свойства обновления, но исключает привилегированные свойства. Например,microsoft.directory/applications/standard/read.
-
-
{Actions} — предоставляемые операции. В большинстве случаев разрешения должны быть выражены в терминах операций CRUD или
allTasks. Действия:-
create— возможность создания нового экземпляра сущности. -
read— возможность чтения заданного набора свойств (включая все свойства). -
update— возможность обновления заданного набора свойств (включая allProperties). -
delete— возможность удаления заданной сущности. -
allTasks— представляет все операции CRUD (создание, чтение, обновление и удаление).
-
свойство condition
Условия определяют ограничения, которые должны быть выполнены. Например, требование о том, что субъект является "владельцем" целевого объекта. Ниже приведены поддерживаемые условия.
- Self: "$ResourceIsSelf"
- Владелец: "$SubjectIsOwner"
Ниже приведен пример разрешения роли с условием.
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "$SubjectIsOwner"
}
]
Условия для пользовательских ролей не поддерживаются.
Связи
Отсутствуют.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"allowedResourceActions": ["String"],
"condition": "String"
}
Связанные материалы
- Разрешения роли администратора в Microsoft Entra — сведения о разрешениях для встроенных ролей каталога.
- Подтипы и разрешения регистрации приложений в идентификаторе Microsoft Entra — сведения о разрешениях, доступных для пользовательских ролей каталога.