Могу ли я запросить доступные API принципа обслуживания через Graph или PowerShell?

Question

Я автоматизирую запрос принципалов / приложений службы AAD или, более конкретно, API, и пытаюсь получить список всех API, доступных через портал, используя либо Graph, либо PowerShell.

Специально Если вы go войдете в приложение и нажмете на вкладку «Полномочия API», вы получите список коллекций API, а затем перейдете к «Полномочия делегированных или приложений» и, наконец, к API. Любой способ пройтись по этому дереву программно был бы замечательным!

У меня нет большой надежды, что этот список разоблачен, но мои пальцы скрещены, кто-то может помочь.

Заранее спасибо, Andy

Answer 1

Конечно, вы можете запросить субъекты обслуживания из MS Graph API и получить то, что вам нужно: https://docs.microsoft.com/en-us/graph/api/serviceprincipal-list?view=graph-rest-beta&tabs=http.

Это дает вам список всех участников обслуживания: https://docs.microsoft.com/en-us/graph/api/resources/serviceprincipal?view=graph-rest-beta.

Вы также можете использовать командлет модуля AzureAD PowerShell Get-AzureADServicePrincipal для получения этих данных.

В любом случае вы можете получить делегированные разрешения в разделе свойство oauth2Permissions .

Разрешения OAuth 2.0, предоставляемые связанным приложением. Для получения дополнительной информации см. Определение свойства oauth2Permissions для объекта приложения. Не обнуляется.

Разрешения приложения находятся в свойстве appRoles .

Роли приложения, предоставляемые связанным приложением. Для получения дополнительной информации см. Определение свойства appRoles для объекта приложения. Не обнуляется.

Однако не все appRoles являются разрешениями приложения. У appRole есть свойство позволено: ios), установив «Приложение» или оба.

Итак, вы хотите проверить appRoles с «Application» в качестве разрешенного типа элемента, это разрешения приложения.