Privileged Identity Management API'leri

  • Makale

Microsoft Entra'nın bir parçası olan Privileged Identity Management (PIM) üç sağlayıcı içerir:

  • Microsoft Entra rolleri için PIM
  • Azure kaynakları için PIM
  • Gruplar için PIM

Atamaları Microsoft Graph kullanarak Microsoft Entra rolleri için PIM ve Gruplar için PIM'de yönetebilirsiniz. Azure Resource Manager API'lerini kullanarak Azure Kaynakları için PIM'de atamaları yönetebilirsiniz. Bu makalede, Privileged Identity Management API'lerini kullanmaya yönelik önemli kavramlar açıklanmaktadır.

Atamaları yönetmeye izin veren API'ler hakkında daha fazla ayrıntıyı belgelerde bulabilirsiniz:

PIM API geçmişi

Son birkaç yıl içinde PIM API'lerinde çeşitli yinelemeler yapılmıştır. İşlevsellikte bazı çakışmalar vardır, ancak bunlar sürümlerin doğrusal ilerlemesini temsil etmemektedir.

Yineleme 1 – Kullanım Dışı

Uç noktanın /beta/privilegedRoles altında Microsoft, PIM API'sinin yalnızca Microsoft Entra rollerini destekleyen ve artık desteklenmeyen klasik bir sürümüne sahipti. Bu API'ye erişim Haziran 2021'de kullanım dışı bırakılmıştır.

Yineleme 2 – Microsoft Entra rollerini ve Azure kaynak rollerini destekler

Uç noktanın altında/beta/privilegedAccess, Microsoft hem hem /azureResourcesde /aadRoles 'yi destekler. Bu uç nokta kiracınızda hala kullanılabilir ancak Microsoft, bu API ile yeni geliştirme başlatmamanızı önerir. Bu API hiçbir zaman genel kullanıma sunulmayacak ve sonunda kullanım dışı bırakılacaktır.

Yineleme 3 (Geçerli) – Microsoft Entra rolleri, Microsoft Graph API'sindeki gruplar ve ARM API'deki Azure kaynakları için PIM

Bu, PIM API'sinin son yinelemesidir. İçerik:

  • Microsoft Graph API'sinde Microsoft Entra rolleri için PIM - Genel kullanıma sunuldu.
  • ARM API'de Azure kaynakları için PIM - Genel kullanıma sunuldu.
  • Microsoft Graph API'sindeki gruplar için PIM - Genel kullanıma sunuldu.
  • Microsoft Graph API'sindeki Microsoft Entra rolleri için PIM uyarıları - Önizleme.
  • ARM API'de Azure Kaynakları için PIM uyarıları - Önizleme.

Microsoft Graph API'sinde Microsoft Entra rolleri için PIM ve ARM API'de Azure Kaynakları için PIM rollerinin olması aşağıdakiler gibi birkaç avantaj sağlar:

  • Hem Microsoft Entra rolleri hem de Azure Kaynak rolleri için normal rol ataması için PIM API'lerinin hizalaması.
  • Kaynak eklemek, kaynak almak veya rol tanımı almak için diğer PIM API'lerini çağırma gereksinimini azaltma.
  • Yalnızca uygulama izinlerini destekleme.
  • Onay ve e-posta bildirimi yapılandırması gibi yeni özellikler.

PIM API yinelemesine genel bakış 3

Sağlayıcılar arasında PIM API'leri (hem Microsoft Graph API'leri hem de ARM API'leri) aynı ilkeleri izler.

Atama yönetimi

Atama oluşturmak (etkin veya uygun), güncelleştirme atamasını yenilemek, genişletmek, güncelleştirme atamasını (etkin veya uygun), uygun atamayı etkinleştirmek, uygun atamayı devre dışı bırakmak, kaynakları kullanmak *AssignmentScheduleRequest ve *EligibilityScheduleRequest:

*AssignmentScheduleRequest veya *EligibilityScheduleRequest nesnelerinin oluşturulması salt okunur *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance ve *EligibilityScheduleInstance nesnelerinin oluşturulmasına neden olabilir.

  • *AssignmentSchedule ve *EligibilitySchedule nesneleri, gelecekte oluşturulacak atamalar için geçerli atamaları ve istekleri gösterir.
  • *AssignmentScheduleInstance ve *EligibilityScheduleInstance nesneleri yalnızca geçerli atamaları gösterir.

Uygun bir atama etkinleştirildiğinde (Oluştur *AssignmentScheduleRequest çağrıldı), *EligibilityScheduleInstance mevcut olmaya devam eder, bu etkinleştirilmiş süre için yeni *AssignmentSchedule ve *AssignmentScheduleInstance nesneleri oluşturulur.

Atama ve etkinleştirme API'leri hakkında daha fazla bilgi için bkz . Rol atamalarını ve uygunluklarını yönetmek için PIM API'sini kullanın.

PIM İlkeleri (rol ayarları)

PIM ilkelerini yönetmek için *roleManagementPolicy ve *roleManagementPolicyAssignment varlıklarını kullanın:

*roleManagementPolicy kaynağı PIM ilkesini oluşturan kuralları içerir: onay gereksinimleri, maksimum etkinleştirme süresi, bildirim ayarları vb.

*roleManagementPolicyAssignment nesnesi ilkeyi belirli bir role ekler.

İlke ayarları API'leri hakkında daha fazla bilgi için bkz . rol ayarları ve PIM.

İzinler

Microsoft Entra rolleri için PIM

Microsoft Entra rolleri için PIM için gereken Microsoft Graph izinleri için ilgili REST API başvuru sayfalarına bakın.

Azure kaynakları için PIM

Azure kaynak rolleri için PIM API'leri, Azure Resource Manager çerçevesinin üzerinde geliştirilmiştir. Azure Kaynak Yönetimi'ne onay vermeniz gerekir ancak Microsoft Graph izinlerine ihtiyacınız yoktur. Ayrıca API'yi çağıran kullanıcının veya hizmet sorumlusunun yönetmeye çalıştığınız kaynakta en azından Sahip veya Kullanıcı Erişimi Yöneticisi rolüne sahip olduğundan emin olmanız gerekir.

Gruplar için PIM

Gruplar için PIM için gereken Microsoft Graph izinleri için ilgili REST API başvuru sayfalarına bakın.

PIM varlıkları ile rol atama varlıkları arasındaki ilişki

PiM varlığı ile Microsoft Entra rolleri veya Azure rolleri için kalıcı (etkin) atama için rol atama varlığı arasındaki tek bağlantı *AssignmentScheduleInstance'tır. İki varlık arasında bire bir eşleme vardır. Bu eşleme roleAssignment ve *AssignmentScheduleInstance değerlerinin şunları içereceği anlamına gelir:

  • PIM dışında yapılan kalıcı (etkin) atamalar
  • PIM içinde zamanlanmış kalıcı (etkin) atamalar
  • Etkin uygun atamalar

PIM'e özgü özellikler (bitiş zamanı gibi) yalnızca *AssignmentScheduleInstance nesnesi aracılığıyla kullanılabilir.

Sonraki adımlar