Conceder un appRoleAssignment a un grupo
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Use esta API para asignar un rol de aplicación a un grupo de seguridad. Todos los miembros directos del grupo se considerarán asignados. Se admiten grupos de seguridad con pertenencias dinámicas. Para conceder una asignación de roles de aplicación a un grupo, necesitará tres identificadores:
- principalId: id. del group al que va a asignar el rol de aplicación.
- resourceId: el id. del recurso servicePrincipal que ha definido el rol de aplicación.
- appRoleId: identificador del appRole (definido en la entidad de servicio del recurso) que se va a asignar al grupo.
Es posible que se necesiten licencias adicionales para utilizar un grupo para administrar el acceso a las aplicaciones.
Esta API está disponible en las siguientes implementaciones nacionales de nube.
| Servicio global | Gobierno de EE. UU. L4 | Us Government L5 (DOD) | China operada por 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Permissions
Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.
| Tipo de permiso | Permisos con privilegios mínimos | Permisos con privilegios más altos |
|---|---|---|
| Delegado (cuenta profesional o educativa) | AppRoleAssignment.ReadWrite.All | No disponible. |
| Delegado (cuenta personal de Microsoft) | No admitida. | No admitida. |
| Aplicación | AppRoleAssignment.ReadWrite.All | No disponible. |
Importante
En escenarios delegados con cuentas profesionales o educativas, al usuario que ha iniciado sesión se le debe asignar un rol de Microsoft Entra compatible o un rol personalizado con un permiso de rol admitido. Se admiten los siguientes roles con privilegios mínimos para esta operación:
- Cuentas de sincronización de directorios: para Microsoft Entra Connect y Microsoft Entra servicios de Cloud Sync
- Escritor de directorios
- Administrador de identidades híbridas
- Administrador de gobernanza de identidades
- Administrador de roles con privilegios
- Administrador de usuarios
- Administrador de la aplicación
- Administrador de aplicaciones en la nube
Solicitud HTTP
POST /groups/{groupId}/appRoleAssignments
Nota:
Como práctica recomendada, le sugerimos crear asignaciones de roles de aplicación mediante la appRoleAssignedTorelación de la entidad de servicio del recurso, en lugar de la appRoleAssignmentsrelación del usuario, grupo o entidad de servicio asignados.
Encabezados de solicitud
| Nombre | Descripción |
|---|---|
| Authorization | {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización. |
| Tipo de contenido | application/json. Obligatorio. |
Cuerpo de la solicitud
En el cuerpo de la solicitud, proporcione una representación JSON de un objeto appRoleAssignment.
En la tabla siguiente se enumeran las propiedades necesarias al crear appRoleAssignment. Especifique otras propiedades de escritura según sea necesario para appRoleAssignment.
| Propiedad | Tipo | Descripción |
|---|---|---|
| appRoleId | Guid | El identificador (id.) para el rol de aplicación que está asignado al principal. Este rol de aplicación debe exponerse en la propiedad appRoles en la entidad de servicio de la aplicación del recurso (resourceId). Si la aplicación del recurso no ha declarado ningún rol de aplicación, se puede especificar un id. de rol de aplicación predeterminada de 00000000-0000-0000-0000-000000000000 para señalar que la entidad de seguridad esté asignada a la aplicación del recurso sin ningún rol de aplicación específico. |
| principalId | Guid | El identificador único (id.) del grupo al que se concede el rol de aplicación. |
| resourceId | Guid | El identificador único (id) para la entidad de servicio del recurso para el que se realizó la asignación. |
Respuesta
Si se ejecuta correctamente, este método entrega un código de respuesta 201 Created y un objeto appRoleAssignment en el cuerpo de la respuesta.
Ejemplos
Solicitud
En el ejemplo siguiente se muestra la solicitud. En este ejemplo, tanto el identificador de la dirección URL como el valor de principalId serían el identificador del grupo asignado.
POST https://graph.microsoft.com/beta/groups/7679d9a4-2323-44cd-b5c2-673ec88d8b12/appRoleAssignments
Content-Type: application/json
{
"principalId": "7679d9a4-2323-44cd-b5c2-673ec88d8b12",
"resourceId": "076e8b57-bac8-49d7-9396-e3449b685055",
"appRoleId": "00000000-0000-0000-0000-000000000000"
}
Respuesta
En el ejemplo siguiente se muestra la respuesta.
Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#groups('7679d9a4-2323-44cd-b5c2-673ec88d8b12')/appRoleAssignments/$entity",
"id": "pNl5diMjzUS1wmc-yI2LEkGgWqFFrFdLhG2Ly2CysL4",
"deletedDateTime": null,
"appRoleId": "00000000-0000-0000-0000-000000000000",
"creationTimestamp": "2021-02-19T17:55:08.3369542Z",
"principalDisplayName": "Young techmakers",
"principalId": "7679d9a4-2323-44cd-b5c2-673ec88d8b12",
"principalType": "Group",
"resourceDisplayName": "Yammer",
"resourceId": "076e8b57-bac8-49d7-9396-e3449b685055"
}