Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Aktualisieren Sie die Eigenschaften eines federatedIdentityCredential-Objekts , das einer Anwendung oder einem agentIdentityBlueprint zugewiesen ist.
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
| Weltweiter Service | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Berechtigungen
Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.
Berechtigungen für eine Anwendung
| Berechtigungstyp | Berechtigungen mit den geringsten Berechtigungen | Berechtigungen mit höheren Berechtigungen |
|---|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Application.ReadWrite.All | Nicht verfügbar. |
| Delegiert (persönliches Microsoft-Konto) | Application.ReadWrite.All | Nicht verfügbar. |
| Application | Application.ReadWrite.OwnedBy | Application.ReadWrite.All |
Wichtig
In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Die folgenden Rollen mit den geringsten Berechtigungen werden für diesen Vorgang unterstützt.
- Ein Nicht-Administratormitglied mit Standardbenutzerberechtigungen für Anwendungen, die er besitzt
- Anwendungsentwickler – für Anwendungen, die sie besitzen
- Cloudanwendungsadministrator
- Anwendungsadministrator
Berechtigungen für einen AgentIdentityBlueprint
| Berechtigungstyp | Berechtigung mit den geringsten Rechten | Berechtigungen mit höheren Berechtigungen |
|---|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | AgentIdentityBlueprint.AddRemoveCreds.All, AgentIdentityBlueprint.UpdateBranding.All | AgentIdentityBlueprint.ReadWrite.All, Directory.ReadWrite.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt | Nicht unterstützt |
| Application | AgentIdentityBlueprint.AddRemoveCreds.All, AgentIdentityBlueprint.UpdateBranding.All | AgentIdentityBlueprint.ReadWrite.All, Directory.ReadWrite.All |
Wichtig
Bei Verwendung delegierter Berechtigungen muss dem authentifizierten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Die folgenden Rollen mit den geringsten Berechtigungen werden für diesen Vorgang unterstützt.
- Agent-ID-Administrator.
- Agent-ID-Entwickler: Erstellen von Agent-Identitätsblaupausen. Dem Prinzipal mit dieser Rolle wird der Besitz der Blaupause zugewiesen, die er erstellt, und er kann Schreibvorgänge für diese Blaupause ausführen.
HTTP-Anforderung
Für eine Anwendung:
- Sie können die Anwendung entweder mit ihrer ID oder appId adressieren. id und appId werden in App-Registrierungen im Microsoft Entra Admin Center als Objekt-ID bzw. Anwendungs-ID (Client-ID) bezeichnet.
- Sie können die Anmeldeinformationen der Verbundidentität auch entweder mit ihrer ID oder ihrem Namen behandeln.
PATCH /applications/{id}/federatedIdentityCredentials/{federatedIdentityCredentialId}
PATCH /applications/{id}/federatedIdentityCredentials/{federatedIdentityCredentialName}
PATCH /applications(appId='{appId}')/federatedIdentityCredentials/{federatedIdentityCredentialId}
PATCH /applications(appId='{appId}')/federatedIdentityCredentials/{federatedIdentityCredentialName}
Für einen agentIdentityBlueprint:
- Sie können die Anmeldeinformationen der Verbundidentität entweder mit ihrer ID oder ihrem Namen behandeln.
PATCH /applications/{id}/microsoft.graph.agentIdentityBlueprint/federatedIdentityCredentials/{federatedIdentityCredentialId}
PATCH /applications/{id}/microsoft.graph.agentIdentityBlueprint/federatedIdentityCredentials/{federatedIdentityCredentialName}
Anforderungsheader
| Name | Beschreibung |
|---|---|
| Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung. |
| Content-Type | application/json. Erforderlich. |
Anforderungstext
Geben Sie im Anforderungstext nur die Werte für die Eigenschaften an, die aktualisiert werden sollen. Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.
In der folgenden Tabelle sind die Eigenschaften angegeben, die aktualisiert werden können.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Publikum | String collection | Die Zielgruppe, die im ausgestellten Token angezeigt werden kann. Legen Sie für Microsoft Entra ID den Wert auf festapi://AzureADTokenExchange. Dieses Feld kann nur einen einzelnen Wert akzeptieren und darf maximal 600 Zeichen lang sein. |
| claimsMatchingExpression | federatedIdentityExpression | Lässt NULL-Werte zu. Wenn nicht festgelegt, wird der Standardwert auf null festgelegt. Ermöglicht die Verwendung von Anspruchsabgleichsausdrücken für angegebene Ansprüche. Wenn claimsMatchingExpression definiert ist, muss subject sein null. Eine Liste der unterstützten Ausdruckssyntax und -ansprüche finden Sie in der Referenz zu flexiblen FIC. |
| description | Zeichenfolge | Eine vom Benutzer bereitgestellte Beschreibung, wofür die federatedIdentityCredential verwendet wird. Es ist auf 600 Zeichen beschränkt. |
| Emittenten | Zeichenfolge | Die URL des eingehenden vertrauenswürdigen Ausstellers (Secure Token Service). Entspricht dem Ausstelleranspruch eines Zugriffstokens. Bei kundenseitig verwalteten Schlüsseln ist z. B. Microsoft Entra ID der Aussteller, und ein gültiger Wert wäre https://login.microsoftonline.com/{tenantid}/v2.0. Die Kombination der Werte von Aussteller und Betreff muss in der App eindeutig sein. Es ist auf 600 Zeichen beschränkt. |
| subject | Zeichenfolge | Nullwerte zulassend. Wenn nicht festgelegt, wird der Standardwert auf null festgelegt. objectId servicePrincipal (kann eine verwaltete Identität darstellen), die die Identität der App annehmen kann. Das dieser GUID zugeordnete Objekt muss im Mandanten vorhanden sein.Die Kombination der Werte von Aussteller und Betreff muss in der App eindeutig sein. Wenn subject definiert ist, muss claimsMatchingExpression sein null. Es ist auf 600 Zeichen beschränkt. |
Antwort
Wenn die Methode erfolgreich verläuft, wird der Antwortcode 204 No Content zurückgegeben.
Beispiele
Beispiel 1: Aktualisieren der Anmeldeinformationen einer Verbundidentität für eine Anwendung
Anforderung
PATCH https://graph.microsoft.com/beta/applications/bcd7c908-1c4d-4d48-93ee-ff38349a75c8/federatedIdentityCredentials/15be77d1-1940-43fe-8aae-94a78e078da0
Content-Type: application/json
{
"name": "testing02",
"issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
"subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
"description": "Updated description",
"audiences": [
"api://AzureADTokenExchange"
]
}
Antwort
HTTP/1.1 204 No Content
Beispiel 2: Aktualisieren der Anmeldeinformationen einer Verbundidentität für einen AgentIdentityBlueprint
Anforderung
PATCH https://graph.microsoft.com/beta/applications/bcd7c908-1c4d-4d48-93ee-ff38349a75c8/microsoft.graph.agentIdentityBlueprint/federatedIdentityCredentials/15be77d1-1940-43fe-8aae-94a78e078da0
Content-Type: application/json
{
"name": "testing02",
"issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
"subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
"description": "Updated description",
"audiences": [
"api://AzureADTokenExchange"
]
}
Antwort
HTTP/1.1 204 No Content