Microsoft.Graph 应用程序/federatedIdentityCredentials
权限
为此 API 选择标记为最低特权的权限。 只有在应用需要它时,才使用更高的特权权限。 有关委派权限和应用程序权限的详细信息,请参阅权限类型。 要了解有关这些权限的详细信息,请参阅 权限参考。
注意
个人 Microsoft 帐户的权限不能用于部署 Bicep 文件中声明的 Microsoft Graph 资源。
| 权限类型 | 最低特权权限 | 更高特权权限 |
|---|---|---|
| 委派(工作或学校帐户) | Application.ReadWrite.All | 不可用。 |
| 委派(个人 Microsoft 帐户) | Application.ReadWrite.All | 不可用。 |
| 应用程序 | Application.ReadWrite.OwnedBy | Application.ReadWrite.All |
资源格式
若要创建 Microsoft.Graph/applications/federatedIdentityCredentials 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Graph/applications@v1.0' = {
displayName: 'string'
uniqueName: 'string'
resource childSymbolicname 'federatedIdentityCredentials@v1.0' = {
audiences: [
'string'
]
description: 'string'
issuer: 'string'
name: 'string'
subject: 'string'
}
}
属性值
applications/federatedIdentityCredentials
| 名称 | 描述 | 值 |
|---|---|---|
| apiVersion | 资源 API 版本 | “v1.0” (ReadOnly) |
| audiences | 可在外部令牌中显示的受众。 此字段是必需的,应设置为 Microsoft Entra ID api://AzureADTokenExchange。 它说,Microsoft 标识平台应该接受在传入令牌的 aud 声明中。 此值表示外部标识提供者中的 Microsoft Entra ID,并且跨标识提供者没有固定值 - 可能需要在标识提供者中创建新的应用程序注册,以充当此令牌的受众。 此字段只能接受单个值,并且限制为 600 个字符。 必需。 | string[] (必需) |
| description | 用户提供的联合标识凭据的未评估说明。 限制为 600 个字符。 可选。 | string |
| id | 实体的唯一标识符。 只读。 | string (ReadOnly) |
| 颁发者 | 外部标识提供者的 URL,必须与要交换的外部令牌的颁发者声明匹配。 颁发者和使用者的值的组合在应用中必须是唯一的。 限制为 600 个字符。 必需。 | string (必需) |
| name | 联合标识凭据的唯一标识符,其限制为 120 个字符,并且必须对 URL 友好。 字符串在创建后是不可变的。 备用键。 必需。 不可为 null | string (必需) |
| subject | 必需。 外部标识提供者中外部软件工作负荷的标识符。 与受众值一样,它没有固定格式;每个标识提供者使用自己的标识提供者 - 有时是 GUID,有时是冒号分隔标识符,有时是任意字符串。 此处的值必须与提供给 Microsoft Entra ID 的令牌中的子声明匹配。 颁发者和使用者的组合在应用中必须是唯一的。 限制为 600 个字符 | string (必需) |
| type | 资源类型 | “Microsoft.Graph/applications/federatedIdentityCredentials” (ReadOnly) |