Azure Graph API - 批准 PIM 请求-6ren

Azure Graph API - 批准 PIM 请求

转载作者：行者123 更新时间：2023-12-04 17:18:23

26

4

我正在尝试使用新的 Azure AD Privileged Identity Management REST API 批准/拒绝角色激活请求。

我已经能够使用以下请求读取所有待处理的角色激活请求:

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests

响应如下所示:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests",
    "value": [
        {
            "id": "40b1dff9-9703-4da8-bf8f-275141347b6e",
            "status": "PendingApproval",
            "createdDateTime": "2021-06-04T10:47:40.34Z",
            "completedDateTime": "2021-06-04T10:47:40.15Z",
            "approvalId": "40b1dff9-9703-4da8-bf8f-275141347b6e",
            "customData": null,
            "action": "SelfActivate",
            "principalId": "049bad91-8812-4daa-870e-1edf05f5ced1",
            "roleDefinitionId": "9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "40b1dff9-9703-4da8-bf8f-275141347b6e",
            "justification": "My custom reason",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "049bad91-8812-4daa-870e-1edf05f5ced1"
                }
            },
            "scheduleInfo": {
                "startDateTime": null,
                "recurrence": null,
                "expiration": {
                    "type": "afterDuration",
                    "endDateTime": null,
                    "duration": "PT8H"
                }
            },
            "ticketInfo": {
                "ticketNumber": "",
                "ticketSystem": ""
            }
        }
    ]
}

这与我在 Azure 门户中看到的请求相符:

现在我尝试通过提供返回的 id 使用 PATCH 操作批准上述请求:

PATCH https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests/40b1dff9-9703-4da8-bf8f-275141347b6e

对于有效负载，我尝试添加 Provisioned 和 Denied:

{
    "status": "Denied"
}

但无论出于何种原因，我不断收到以下错误(代码 404):

{
    "error": {
        "code": "UnknownError",
        "message": "{\"message\":\"No HTTP resource was found that matches the request URI 'https://api.azrbac.mspim.azure.com/api/v3/roleManagement/directory/roleAssignmentScheduleRequests('40b1dff9-9703-4da8-bf8f-275141347b6e')?'.\"}",
        "innerError": {
            "date": "2021-06-04T11:06:18",
            "request-id": "ec668ea0-cf33-4e41-bfb4-19ca4ac683ad",
            "client-request-id": "ca765884-79b1-7695-5c72-c5783dd9968c"
        }
    }
}

有什么想法吗？

最佳答案

终于，我找到了解决办法。以下是使用 PowerShell Graph SDK 的完整示例:

$scopes = @(
    "PrivilegedAccess.Read.AzureAD",
    "RoleAssignmentSchedule.ReadWrite.Directory", 
    "PrivilegedAccess.ReadWrite.AzureAD"    
)

Connect-MgGraph -Scopes $scopes

[array]$pendingApprovals = Invoke-GraphRequest `
    -Method GET `
    -Uri '/beta/roleManagement/directory/roleAssignmentScheduleRequests?$filter=(status eq ''PendingApproval'')' | 
Select-Object -ExpandProperty value

$approvalSteps = Invoke-GraphRequest `
    -Method GET `
    -Uri ('/beta/roleManagement/directory/roleAssignmentApprovals/{0}' -f $pendingApprovals[0].approvalId) | 
Select-Object -ExpandProperty steps | Where-Object status -eq InProgress

$body = @{
    reviewResult  = 'Approve'
    justification = 'Seems legit'
}

Invoke-GraphRequest `
    -Method PATCH `
    -Uri ('https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/{0}/steps/{1}' -f $pendingApprovals[0].approvalId, $approvalSteps.id) `
    -Body $body

我还写了一篇关于它的博客文章: Approve requests for Azure AD roles in PIM

关于Azure Graph API - 批准 PIM 请求，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/67836187/

26

4

0

文章推荐： Javascript 破坏 Css 字体样式(Linkedin Badge)

文章推荐： android - 如何使用条件导航将 androidTest 添加到 fragment ？

文章推荐： asp.net - Data URI 被 AntiXssEncoder 双重编码

文章推荐： SASS 内置模块错误 : Invalid CSS after

graph - 分布式 tensorflow : the difference between In-graph replication and Between-graph replication
我对这两个概念感到困惑:In-graph replication和 Between-graph replication阅读 Replicated training 时在 tensorflow 的官方
graph - 分布式 tensorflow : the difference between In-graph replication and Between-graph replication
我对这两个概念感到困惑:In-graph replication和 Between-graph replication阅读 Replicated training 时在 tensorflow 的官方
graph - graph.windows.net 和 graph.microsoft.com 之间有什么区别？
我正在尝试使用 https://graph.windows.net/{teantId}/users/[email protected]/thumbnailPhoto?api-version=1.6 访
indexing - Julia /Graphs.jl : creating graph using graph() and arguments
我正在尝试使用 Graphs.jl 模块从 Julia 中的图中获取子图。我有图，并将其顶点和边存储到列表中，然后我的算法在该列表中移动并删除不属于新子图的节点和边。到这一部分，一切正常，在整个算法之
graph - Arangodb Graph，该用哪个
我是 Arangodb 的新手。我对使用哪个图形 API 感到困惑。我可以在 http://localhost:8529/ url 看到一张图。官方视频讨论了 Gremlin(我也安装了它)。然后就是
microsoft-graph-api - 如何使用 Graph API 读取 Azure B2C 自定义属性(适用于 Azure AD Graph)
截至今天，文档建议使用 Microsoft Graph 而不是 Azure AD Graph API 来访问 Azure AD/B2C 资源。之前，通过 Azure AD Graph API，我们可
azure - [从 Azure AD Graph 迁移到 Microsoft Graph] : how to get the parameters to use the Microsoft Graph API
我们希望将 .NET 应用从使用 Azure AD Graph 迁移到 Microsoft Graph API。目前我们正在使用包 Microsoft.WindowsAzure.Configurati
graph - 为什么 GraphQL 中的 "graph"？
也许我遗漏了什么，但我不知道为什么 GraphQL 的标题中有 graph。我猜这与 Graph Theory 有关和 graph并且可以看到某种联系，但如果有人能用简单的术语解释它就太好了。最佳
facebook-graph-api - Graph API中缺少页面的已连接Instagram帐户字段
我正在尝试使用API使用户的Facebook Pages具有已关联的Instagram企业帐户: https://graph.facebook.com/v2.7/me/accounts?field
graph - 如何导出 Mathematica Graph 对象的更高分辨率图像？
如何导出我通过调用 GraphPlot 获得的输出的调整大小版本 (或 TreePlot 如果它们产生不同的输出)到 jpg 文件？目前，我只是调用 Export[file_name, G]在哪里
graph - cosmos db graph api如何检查边缘是否存在并更新？
如何在使用 gremlin 查询创建边缘之前检查边缘是否已存在？如何更新现有边缘而不是删除并重新创建？最佳答案我不确定您是否还在寻找答案；然而，简单的答案是 Cosmos DB 在 Gremlin
xcode - 使用 Xcode Memory Graph Debugger 时出现 "Memory Graph Debugger: no serialized memory graph received from LeakAgent"错误
我使用的是 Xcode 10.2.1 和 macOS Catalina Developer Beta 2。每当我尝试使用内存图调试器时，我都会收到此错误: Memory Graph Debugger:
facebook-graph-api - Graph API错误＃200，即使具有正确的权限
我正在设置一个机器人以在Facebook页面上自动发布。但是，当我运行脚本时，图形API会引发以下错误: Graph returned an error: (#200) Requires either
microsoft-graph-api - Microsoft Graph-使用umlaut和其他unicode字符进行过滤
如何制定包含非英语字符(例如日耳曼语Umlauts)的Microsoft Graph /myOrganization/users OData查询？例子: 我的租户中有一个名为“ThomasMülle
facebook-graph-api - Facebook Graph API中用于定位的国家和城市列表
我正在寻找发布目标帖子时可以与Facebook Graph API一起使用的国家/州/城市列表。我在this页面上找到了一个JSON文件，但是该文件无法正确解析，我也怀疑它是否可以用于发布目标，因为
facebook-graph-api - Graph API 的共享数
关于 Graph API，帖子的分享数、帖子见解的分享数和页面上显示的分享数不相同。我假设这些代表相同的计数。我的假设错了吗？来自帖子: https://graph.facebook.com/XXX
microsoft-graph-api - Microsoft Graph - 为什么访问另一个网站集中的子网站需要根网站读取权限？
我正在尝试访问作为嵌套子站点一部分的列表的项目，如下所示: https://{mytenant}.sharepoint.com/ vendorSiteCollection/ v
facebook-graph-api - Graph API 调用次数限制
我打算开发一个应用程序，但开发人员告诉我每个 IP 每 600 秒有 600 次调用的限制。该应用程序有很多场景，这还不够。有没有办法以某种方式增加限制？或者 Facebook 是否提供任何高级帐户或
graph - Neo4j Graph DB - 伦敦地铁规划师 - 找不到路径
我在 Neo4j 中创建了一张伦敦地铁 map 。站点通过 :CONNECTED_TO 关系连接，时间值表示停止之间需要多长时间(目前这些是我为测试输入的随机值)。位于多条线路上的车站每条线路都有一个
microsoft-graph-api - MS Graph - 获取所有用户
我正在尝试拉回所有用户的列表，我的预期结果将是大约 20,000 个用户。图表似乎将我限制为 1000。图调用https://graph.microsoft.com/v1.0/users返回 10

首页

博学

6Ren·AI

商城

Azure Graph API - 批准 PIM 请求