Obter appRoleAssignment
Namespace: microsoft.graph
Leia as propriedades e relações de um objeto appRoleAssignment .
Esta API está disponível nas seguintes implementações de cloud nacionais.
| Serviço global | US Government L4 | US Government L5 (DOD) | China operada pela 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Permissões
A tabela seguinte mostra as permissões ou permissões com menos privilégios necessárias para chamar esta API em cada tipo de recurso suportado. Siga as melhores práticas para pedir permissões com menos privilégios. Para obter detalhes sobre as permissões delegadas e de aplicação, veja Tipos de permissão. Para saber mais sobre estas permissões, veja a referência de permissões.
| Recurso com suporte | Delegada (conta corporativa ou de estudante) | Delegada (conta pessoal da Microsoft) | Application |
|---|---|---|---|
| grupo | Group.Read.All | Sem suporte. | Group.Read.All |
| servicePrincipal | Application.Read.All | Sem suporte. | Application.Read.All |
| usuário | User.Read | Sem suporte. | Directory.Read.All |
Importante
Em cenários delegados com contas escolares ou profissionais, o utilizador com sessão iniciada tem de ter uma função de Microsoft Entra suportada ou uma função personalizada com uma permissão de função suportada. As seguintes funções com menos privilégios são suportadas para esta operação:
- Convidado – Ler atribuições de funções de aplicações apenas para utilizadores
- Leitores de Diretórios
- Contas de Sincronização de Diretórios – para serviços Microsoft Entra Connect e Microsoft Entra Cloud Sync
- Escritor de Diretórios
- Administrador de Identidade Híbrida
- Administrador de Governação de Identidades
- Administrador de Função Privilegiada
- Administrador do usuário
- Administrador de Aplicativos
- Administrador de Aplicativos de Nuvem
Outras permissões suportadas
Cada recurso suporta as seguintes permissões com privilégios superiores:
- Grupos:
- Permissões delegadas e de aplicação: Directory.Read.All, AppRoleAssignment.ReadWrite.All, Directory.ReadWrite.All
- Usuários:
- Permissões delegadas: User.ReadBasic.All, Directory.Read.All, AppRoleAssignment.ReadWrite.All
- Permissões da aplicação: Directory.Read.All, AppRoleAssignment.ReadWrite.All
- Principais de serviço:
- Permissões delegadas: Directory.Read.All, Application.ReadWrite.All, Directory.ReadWrite.All
- Permissões da aplicação: Application.ReadWrite.OwnedBy, Application.ReadWrite.All, Directory.ReadWrite.All
Solicitação HTTP
Para obter detalhes de uma appRole concedida a um principal de serviço:
GET /servicePrincipals/{client-serviceprincipal-id}/appRoleAssignments/{appRoleAssignment-id}
GET /servicePrincipals(appId='{client-servicePrincipal-appId}')/appRoleAssignments/{appRoleAssignment-id}
Para obter detalhes de uma appRole concedida a um utilizador, grupo ou principal de serviço de cliente para o principal de serviço de recurso especificado:
GET /servicePrincipals(appId='{resource-servicePrincipal-appId}')/appRoleAssignedTo/{appRoleAssignment-id}
GET /servicePrincipals/{resource-serviceprincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}
Para obter detalhes de uma appRole concedida a um grupo:
GET /groups/{group-id}/appRoleAssignments/{appRoleAssignment-id}
Para obter detalhes de uma appRole concedida a um utilizador:
GET /users/{user-id}/appRoleAssignments/{appRoleAssignment-id}
GET /me/appRoleAssignments/{appRoleAssignment-id}
Parâmetros de consulta opcionais
Este método suporta o $select parâmetro de consulta OData para ajudar a personalizar a resposta. Para obter informações gerais, acesse Parâmetros de consulta OData.
Cabeçalhos de solicitação
| Nome | Descrição |
|---|---|
| Autorização | {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização. |
Corpo da solicitação
Não forneça um corpo de solicitação para esse método.
Resposta
Se tiver êxito, este método retornará um código de resposta 200 OK e um objeto appRoleAssignment no corpo da resposta.
Exemplos
Exemplo 1: Obter detalhes de uma função de aplicação concedida a um utilizador, grupo ou principal de serviço de cliente para o principal de serviço de recurso especificado
Solicitação
O pedido seguinte consulta o principal do serviço de recursos para obter detalhes sobre uma função de aplicação que concedeu a um cliente que pode ser um utilizador, grupo ou principal de serviço de cliente no inquilino.
GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/appRoleAssignedTo/ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA
Resposta
O exemplo a seguir mostra a resposta. Mostra que foi concedida a um principal de serviço de cliente o nome Postman uma função de aplicação com o ID df021288-bdef-4463-88db-98f22de89214 , que é a permissão de aplicação User.Read.All , para o principal do serviço de recursos com o nome Microsoft Graph.
Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('00000003-0000-0000-c000-000000000000')/appRoleAssignedTo/$entity",
"id": "ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA",
"deletedDateTime": null,
"appRoleId": "df021288-bdef-4463-88db-98f22de89214",
"createdDateTime": "2023-02-24T17:01:47.0988029Z",
"principalDisplayName": "Postman",
"principalId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7",
"principalType": "ServicePrincipal",
"resourceDisplayName": "Microsoft Graph",
"resourceId": "7408235b-7540-4850-82fe-a5f15ed019e2"
}
Exemplo 2: Obter detalhes de uma função de aplicação concedida a um principal de serviço
Solicitação
O pedido seguinte consulta o principal de serviço do cliente para obter os detalhes de uma função de aplicação concedida ao mesmo. Neste caso, a função da aplicação representa a permissão da aplicação.
GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='ceb96a54-de95-49a0-b38c-c55263fcf421')/appRoleAssignments/ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA
Resposta
O exemplo a seguir mostra a resposta. Mostra que foi concedida a um principal de serviço de cliente o nome Postman uma função de aplicação com o ID df021288-bdef-4463-88db-98f22de89214 , que é a permissão de aplicação User.Read.All , para o principal do serviço de recursos com o nome Microsoft Graph.
Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('ceb96a54-de95-49a0-b38c-c55263fcf421')/appRoleAssignments/$entity",
"id": "ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA",
"deletedDateTime": null,
"appRoleId": "df021288-bdef-4463-88db-98f22de89214",
"createdDateTime": "2023-02-24T17:01:47.0988029Z",
"principalDisplayName": "Postman",
"principalId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7",
"principalType": "ServicePrincipal",
"resourceDisplayName": "Microsoft Graph",
"resourceId": "7408235b-7540-4850-82fe-a5f15ed019e2"
}
Exemplo 3: Obter detalhes de uma função de aplicação concedida ao utilizador com sessão iniciada
Solicitação
O pedido seguinte consulta as appRoleAssignments do utilizador com sessão iniciada.
GET https://graph.microsoft.com/v1.0/me/appRoleAssignments/Lo6gEKI-4EyAy9X91LBepo6Aq0Rt6QxBjWRl76txk8I
Resposta
O exemplo a seguir mostra a resposta. Mostra que o utilizador com sessão iniciada tem a função de aplicação predefinida para um principal de serviço de recursos com o nome Postman.
Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users('10a08e2e-3ea2-4ce0-80cb-d5fdd4b05ea6')/appRoleAssignments/$entity",
"id": "Lo6gEKI-4EyAy9X91LBepo6Aq0Rt6QxBjWRl76txk8I",
"deletedDateTime": null,
"appRoleId": "00000000-0000-0000-0000-000000000000",
"createdDateTime": "2022-09-08T17:43:57.8423817Z",
"principalDisplayName": "MOD Administrator",
"principalId": "10a08e2e-3ea2-4ce0-80cb-d5fdd4b05ea6",
"principalType": "User",
"resourceDisplayName": "Postman",
"resourceId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7"
}