Partager via

servicePrincipal : removeKey

  • Article

Espace de noms: microsoft.graph

Supprimez les informations d’identification d’une clé d’un servicePrincipal. Cette méthode, ainsi que addKey , peut être utilisée par un servicePrincipal pour automatiser le déploiement de ses clés arrivant à expiration.

Remarque

Les opérations Create servicePrincipal et Update servicePrincipal peuvent continuer à être utilisées pour ajouter et mettre à jour les informations d’identification de clé pour n’importe quel servicePrincipal avec ou sans contexte d’utilisateur.

Dans le cadre de la validation de la demande pour cette méthode, une preuve de possession d’une clé existante est vérifiée avant que l’action puisse être effectuée.

Cette API est disponible dans les déploiements de cloud national suivants.

Service global Gouvernement des États-Unis L4 Us Government L5 (DOD) Chine gérée par 21Vianet

Autorisations

Choisissez l’autorisation ou les autorisations marquées comme moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées plus élevées uniquement si votre application en a besoin. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Type d’autorisation Autorisations avec privilèges minimum Autorisations privilégiées plus élevées
Déléguée (compte professionnel ou scolaire) Application.ReadWrite.All Directory.ReadWrite.All
Déléguée (compte Microsoft personnel) Non prise en charge. Non prise en charge.
Application Application.ReadWrite.OwnedBy Application.ReadWrite.OwnedBy, Application.ReadWrite.All, Directory.ReadWrite.All

Requête HTTP

Vous pouvez adresser le principal de service à l’aide de son id ou de son appId. id et appId sont respectivement appelés ID d’objet et ID d’application (client) dans les inscriptions d’applications dans le centre d'administration Microsoft Entra.

POST /serviceprincipals/{id}/removeKey
POST /servicePrincipals(appId='{appId}')/removeKey

En-têtes de demande

Nom Description
Autorisation Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.
Content-Type application/json. Obligatoire.

Corps de la demande

Dans le corps de la demande, fournissez les propriétés requises suivantes.

Propriété Type Description
keyId Guid Identificateur unique du mot de passe.
Preuve Chaîne Jeton JWT auto-signé utilisé comme preuve de possession des clés existantes. Ce jeton JWT doit être signé avec une clé privée qui correspond à l’un des certificats valides existants associés au servicePrincipal. Le jeton doit contenir les revendications suivantes :
  • aud : l’audience doit être 00000002-0000-0000-c000-000000000000.
  • iss : l’émetteur doit être l’ID du servicePrincipal qui lance la demande.
  • nbf : Pas avant l’heure.
  • exp : l’heure d’expiration doit être la valeur nbf + 10 minutes.

Pour connaître les étapes de génération de ce jeton de preuve de possession, consultez Génération de jetons de preuve de possession pour les clés propagées.

Réponse

Si elle réussit, cette méthode renvoie un code de réponse 204 No content.

Exemples

L’exemple suivant montre comment appeler cette API.

Demande

L’exemple suivant illustre une demande.

POST https://graph.microsoft.com/v1.0/servicePrincipals/{id}/removeKey
Content-Type: application/json

{
    "keyId": "f0b0b335-1d71-4883-8f98-567911bfdca6",
    "proof":"eyJ0eXAiOiJ..."
}

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 204 No Content