Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Lea las propiedades y relaciones de un objeto federatedIdentityCredential asignado a una aplicación o a agentIdentityBlueprint.
Esta API está disponible en las siguientes implementaciones nacionales de nube.
| Servicio global | Gobierno de EE. UU. L4 | Us Government L5 (DOD) | China operada por 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Permissions
Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.
Permisos para una aplicación
| Tipo de permiso | Permisos con privilegios mínimos | Permisos con privilegios más altos |
|---|---|---|
| Delegado (cuenta profesional o educativa) | Application.ReadWrite.All | No disponible. |
| Delegado (cuenta personal de Microsoft) | Application.ReadWrite.All | No disponible. |
| Aplicación | Application.ReadWrite.OwnedBy | Application.ReadWrite.All |
Importante
Para el acceso delegado mediante cuentas profesionales o educativas, al usuario que ha iniciado sesión se le debe asignar un rol de Microsoft Entra compatible o un rol personalizado que conceda los permisos necesarios para esta operación. Esta operación admite los siguientes roles integrados, que proporcionan solo los privilegios mínimos necesarios:
- Un usuario miembro no administrador con permisos de usuario predeterminados: para las aplicaciones de su propiedad
- Desarrollador de aplicaciones: para las aplicaciones de su propiedad
- Administrador de aplicaciones en la nube
- Administrador de la aplicación
Permisos para un agenteIdentityBlueprint
| Tipo de permiso | Permiso con privilegios mínimos | Permisos con privilegios más altos |
|---|---|---|
| Delegado (cuenta profesional o educativa) | AgentIdentityBlueprint.Read.All | Application.Read.All, Directory.Read.All |
| Delegado (cuenta personal de Microsoft) | No admitida. | No admitida. |
| Aplicación | AgentIdentityBlueprint.Read.All | Application.Read.All, Directory.Read.All |
Importante
Para el acceso delegado mediante cuentas profesionales o educativas, se debe asignar al administrador un rol de Microsoft Entra compatible. Esta operación admite los siguientes roles integrados, que proporcionan solo los privilegios mínimos necesarios:
- Administrador de id. de agente.
- Desarrollador de id. de agente: cree planos técnicos de identidad de agente y entidades de seguridad de plano técnico. A la entidad de seguridad con este rol se le asigna la propiedad del plano técnico o la entidad de seguridad de plano técnico que crean y pueden realizar operaciones de escritura en los recursos que poseen.
Problema conocido: si al cliente se le concede el permiso Directory.AccessAsUser.All o Directory.ReadWrite.All , se omiten los permisos del cliente para crear, actualizar y eliminar identificadores de agente, lo que puede provocar un error en las solicitudes 403 Forbidden . Para resolver este problema, quite estos permisos del cliente, solicite nuevos tokens de acceso y vuelva a intentar la solicitud.
Solicitud HTTP
Para una aplicación:
- Puede dirigirse a la aplicación mediante su id . o appId. id y appId se conocen como id. de objeto y id. de aplicación (cliente), respectivamente, en los registros de aplicaciones en el Centro de administración Microsoft Entra.
- También puede abordar la credencial de identidad federada con su identificador o nombre.
GET /applications/{id}/federatedIdentityCredentials/{federatedIdentityCredentialId}
GET /applications/{id}/federatedIdentityCredentials/{federatedIdentityCredentialName}
GET /applications(appId='{appId}')/federatedIdentityCredentials/{federatedIdentityCredentialId}
GET /applications(appId='{appId}')/federatedIdentityCredentials/{federatedIdentityCredentialName}
Para un agenteIdentityBlueprint:
- Puede dirigir la credencial de identidad federada con su identificador o nombre.
GET /applications/{id}/microsoft.graph.agentIdentityBlueprint/federatedIdentityCredentials/{federatedIdentityCredentialId}
GET /applications/{id}/microsoft.graph.agentIdentityBlueprint/federatedIdentityCredentials/{federatedIdentityCredentialName}
Parámetros de consulta opcionales
Este método admite el $selectparámetro de consulta OData para ayudar a personalizar la respuesta.
Encabezados de solicitud
| Nombre | Descripción |
|---|---|
| Authorization | {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización. |
Cuerpo de la solicitud
No proporcione un cuerpo de solicitud para este método.
Respuesta
Si se ejecuta correctamente, este método devuelve un 200 OK código de respuesta y un objeto federatedIdentityCredential en el cuerpo de la respuesta.
Ejemplos
Ejemplo 1: Recuperación de una credencial de identidad federada para una aplicación
Solicitud
GET https://graph.microsoft.com/beta/applications/acd7c908-1c4d-4d48-93ee-ff38349a75c8/federatedIdentityCredentials/bdad0963-4a7a-43ae-b569-e67e1da3f2c0
Respuesta
En el ejemplo siguiente se muestra la respuesta.
Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": {
"@odata.context": "https://graph.microsoft.com/beta/$metadata#applications('cd7c908-1c4d-4d48-93ee-ff38349a75c8')/federatedIdentityCredentials/$entity",
"@odata.id": "https://graph.microsoft.com/v2/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/directoryObjects/$/Microsoft.DirectoryServices.Application('bcd7c908-1c4d-4d48-93ee-ff38349a75c8')/federatedIdentityCredentials('bdad0963-4a7a-43ae-b569-e67e1da3f2c0')/bdad0963-4a7a-43ae-b569-e67e1da3f2c0",
"id": "bdad0963-4a7a-43ae-b569-e67e1da3f2c0",
"name": "testing",
"issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
"subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
"description": "This is my test federated identity credential",
"audiences": [
"api://AzureADTokenExchange"
],
"claimsMatchingExpression": null
}
}
Ejemplo 2: Recuperación de una credencial de identidad federada para un agenteIdentityBlueprint
Solicitud
GET https://graph.microsoft.com/beta/applications/acd7c908-1c4d-4d48-93ee-ff38349a75c8/microsoft.graph.agentIdentityBlueprint/federatedIdentityCredentials/bdad0963-4a7a-43ae-b569-e67e1da3f2c0
Respuesta
En el ejemplo siguiente se muestra la respuesta.
Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": {
"@odata.context": "https://graph.microsoft.com/beta/$metadata#applications('cd7c908-1c4d-4d48-93ee-ff38349a75c8')/federatedIdentityCredentials/$entity",
"@odata.id": "https://graph.microsoft.com/v2/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/directoryObjects/$/Microsoft.DirectoryServices.Application('bcd7c908-1c4d-4d48-93ee-ff38349a75c8')/federatedIdentityCredentials('bdad0963-4a7a-43ae-b569-e67e1da3f2c0')/bdad0963-4a7a-43ae-b569-e67e1da3f2c0",
"id": "bdad0963-4a7a-43ae-b569-e67e1da3f2c0",
"name": "testing",
"issuer": "https://login.microsoftonline.com/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/v2.0",
"subject": "a7d388c3-5e3f-4959-ac7d-786b3383006a",
"description": "This is my test federated identity credential",
"audiences": [
"api://AzureADTokenExchange"
],
"claimsMatchingExpression": null
}
}