Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Namespace: microsoft.graph
Crie um novo objeto federatedIdentityCredential para uma aplicação , caso não exista, ou atualize as propriedades de um objeto federatedIdentityCredential existente. Ao configurar uma relação de confiança entre a sua Microsoft Entra registo de aplicações e o fornecedor de identidade para a sua plataforma de computação, pode utilizar tokens emitidos por essa plataforma para autenticar com plataforma de identidade da Microsoft e chamar APIs no ecossistema da Microsoft. Pode ser adicionado um máximo de 20 objetos a uma aplicação.
Esta API está disponível nas seguintes implementações de cloud nacionais.
| Serviço global | US Government L4 | US Government L5 (DOD) | China operada pela 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Permissões
Escolha a permissão ou permissões marcadas como menos privilegiadas para esta API. Utilize uma permissão ou permissões com privilégios mais elevados apenas se a sua aplicação o exigir. Para obter detalhes sobre as permissões delegadas e de aplicação, veja Tipos de permissão. Para saber mais sobre estas permissões, veja a referência de permissões.
| Tipo de permissão | Permissões com menos privilégios | Permissões com privilégios superiores |
|---|---|---|
| Delegado (conta corporativa ou de estudante) | Application.ReadWrite.All | Indisponível. |
| Delegado (conta pessoal da Microsoft) | Application.ReadWrite.All | Indisponível. |
| Application | Application.ReadWrite.OwnedBy | Application.ReadWrite.All |
Importante
Em cenários delegados com contas escolares ou profissionais, o utilizador com sessão iniciada tem de ter uma função de Microsoft Entra suportada ou uma função personalizada com uma permissão de função suportada. As seguintes funções com menos privilégios são suportadas para esta operação.
- Um utilizador membro não administrador com permissões de utilizador predefinidas – para aplicações que possui
- Programador de Aplicações – para aplicações que possuem
- Administrador de Aplicativos de Nuvem
- Administrador de Aplicativos
Solicitação HTTP
Pode abordar a aplicação com o respetivo ID ou appId. O id e o appId são referidos como o ID do Objeto e o ID da Aplicação (Cliente), respetivamente, nos registos de aplicações no centro de administração do Microsoft Entra.
PATCH /applications/{id}/federatedIdentityCredentials(name='{name}')
PATCH /applications(appId='{appId}')/federatedIdentityCredentials(name='{name}')
Cabeçalhos de solicitação
| Nome | Descrição |
|---|---|
| Autorização | {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização. |
| Content-Type | application/json. Obrigatório. |
| Preferir |
create-if-missing. Necessário para o comportamento de upsert, caso contrário, o pedido é tratado como uma operação de atualização. |
Corpo da solicitação
No corpo do pedido, forneça uma representação JSON do objeto federatedIdentityCredential . A tabela seguinte lista as propriedades necessárias quando cria o federatedIdentityCredential. Tenha em atenção que a propriedade name é necessária como parte do URL do pedido.
| Propriedade | Tipo | Descrição |
|---|---|---|
| audiências | String collection | A audiência que pode aparecer no token externo. Este campo é obrigatório e deve ser definido api://AzureADTokenExchange como para Microsoft Entra ID. Diz o que plataforma de identidade da Microsoft deve aceitar na aud afirmação no token de entrada. Este valor representa Microsoft Entra ID no seu fornecedor de identidade externo e não tem um valor fixo entre fornecedores de identidade. Poderá ter de criar um novo registo de aplicação no seu fornecedor de identidade para servir de audiência deste token. Este campo só pode aceitar um único valor e tem um limite de 600 carateres. Obrigatório. |
| emissor | Cadeia de caracteres | O URL do fornecedor de identidade externa e tem de corresponder à afirmação do emissor do token externo que está a ser trocado. A combinação dos valores do emissor e do assunto tem de ser exclusiva na aplicação. Tem um limite de 600 carateres. Obrigatório. |
| assunto | Cadeia de caracteres | Obrigatório. O identificador da carga de trabalho de software externo no fornecedor de identidade externo. Tal como o valor de audiência, não tem um formato fixo, uma vez que cada fornecedor de identidade utiliza o seu próprio , por vezes um GUID, por vezes um identificador delimitado por dois pontos, por vezes cadeias arbitrárias. O valor aqui tem de corresponder à sub-afirmação no token apresentado ao Microsoft Entra ID. Tem um limite de 600 carateres. A combinação de emissor e assunto tem de ser exclusiva na aplicação. |
Resposta
Se for bem-sucedido, se não existir um objeto de aplicação com nome , este método devolve um 201 Created código de resposta e um novo objeto federatedIdentityCredential no corpo da resposta.
Se já existir um objeto de aplicação com nome , este método atualiza o objeto federadoIdentityCredential e devolve um 204 No Content código de resposta.
Exemplos
Exemplo 1: Criar um novo federatedIdentityCredential se não existir
O exemplo seguinte cria um federatedIdentityCredential porque não existe um federatedIdentityCredential com o valor de nome especificado.
Solicitação
O exemplo a seguir mostra uma solicitação.
PATCH https://graph.microsoft.com/v1.0/applications(uniqueName='app-65278')/federatedIdentityCredentials(name='fic01-app-65278')
Content-Type: application/json
{
"issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
"subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
"audiences": [
"api://AzureADTokenExchange"
]
}
Resposta
O exemplo a seguir mostra a resposta.
Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#applications('bcd7c908-1c4d-4d48-93ee-ff38349a75c8')/federatedIdentityCredentials/$entity",
"id": "d9b7bf1e-429e-4678-8132-9b00c9846cc4",
"name": "testing02fic01-app-65278",
"issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
"subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
"description": null,
"audiences": [
"api://AzureADTokenExchange"
]
}
Exemplo 2: Atualizar um federatedIdentityCredential existente
O exemplo seguinte atualiza o federatedIdentityCredential porque existe um federatedIdentityCredential com o valor de nome especificado.
Solicitação
O exemplo a seguir mostra uma solicitação.
PATCH https://graph.microsoft.com/v1.0/applications(uniqueName='app-65278')/federatedIdentityCredentials(name='fic01-app-65278')
Content-Type: application/json
Prefer: create-if-missing
{
"issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
"subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
"audiences": [
"api://AzureADTokenExchange"
]
}
Resposta
O exemplo a seguir mostra a resposta.
HTTP/1.1 204 No Content