我正在编写一个简单的前端应用程序,以便我的团队无需访问 Azure 门户即可使用 PIM for Groups。我正在使用委派权限模型代表登录用户发出请求。
我想获取当前待处理的组批准请求的 PIM,并显示这些请求的详细信息。
以下调用来获取所有待批准的请求效果很好:
GET /identityGovernance/privilegedAccess/group/assignmentApprovals/filterByCurrentUser(on='approver')}
根据 MS Graph API 1.0 文档,这会返回一个不包含任何可以向用户显示的有意义内容的对象:
{
"value": [
{
"@odata.type": "#microsoft.graph.approval",
"id": "46bc634a-0696-43c5-bc99-d568bc3c27f5",
"stages": [
{
"id": "46bc634a-0696-43c5-bc99-d568bc3c27f5",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "Completed",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
]
}
有没有办法获取此批准对象的一些其他详细信息,例如组名称、主体名称、理由消息?
我尝试使用 Graph API 进行大量调用,例如:
GET /identityGovernance/privilegedAccess/group/assignmentScheduleRequests/{privilegedAccessGroupAssignmentScheduleRequestId}
但我收到 403,因为看起来需要成为全局管理员或其他人才能获取其他用户的分配ScheduleRequests 的详细信息。
编辑:
Sridevi 问我是否可以添加我想要获取的详细信息在 Azure 门户中的屏幕截图。这里是:
对于现有审批对象,我希望至少获得 Requestor、Resource 和 Reason 字段。
我同意@user2250152,获取 PIM 组请求批准详细信息的正确端点是:
GET https://graph.microsoft.com/v1.0/identityGovernance/privilegedAccess/group/assignmentScheduleRequests/id/
我有一项待审批请求,Azure 门户中包含以下详细信息:
最初,我运行下面的图形 API 调用,通过使用审批者帐户登录来获取特权访问组分配计划请求的 ID:
GET https://graph.microsoft.com/v1.0/identityGovernance/privilegedAccess/group/assignmentApprovals/filterByCurrentUser(on='approver')
回复:
当我通过使用具有 “全局管理员” 角色的用户登录运行下面的 Graph API 调用时,我成功获得了带有 groupId、principalId 和理由的 response,如下所示:
GET https://graph.microsoft.com/v1.0/identityGovernance/privilegedAccess/group/assignmentScheduleRequests/id/
回复:
我尝试创建具有不同权限的自定义角色并检查其他角色,但没有成功。
据我所知,读取其他用户的 PIM 组请求详细信息的唯一方法是使用具有 “全局管理员” 角色的用户帐户登录。