(0) exportieren Drucken
Alle erweitern

Azure AD Graph-API

Letzte Aktualisierung: Juni 2014

Azure Active Directory Graph-API stellt über REST-API-Endpunkte programmgesteuerten Zugriff auf Azure AD zur Verfügung. Anwendungen können die Graph-API für Erstellungs-, Lese-, Aktualisierungs- und Löschvorgänge (CRUD) für Verzeichnisdaten oder Objekte verwenden. Die Graph-API unterstützt z. B. die folgenden allgemeinen Vorgänge für ein Benutzerobjekt:

  • Erstellen eines neuen Benutzers in einem Verzeichnis

  • Abrufen der detaillierten Eigenschaften eines Benutzers, z. B. seiner Gruppen

  • Aktualisieren der Eigenschaften eines Benutzers, z. B. seines Standorts und seiner Telefonnummer oder das Ändern seines Kennworts

  • Überprüfen der Mitgliedschaft eines Benutzers für rollenbasierten Zugriff

  • Deaktivieren des Kontos eines Benutzers oder die vollständige Löschung des Kontos

Ähnliche Vorgänge wie für Benutzerobjekte können Sie auch für andere Objekte (z. B. Gruppen und Anwendungen) ausführen. Damit die Graph-API für ein Verzeichnis aufgerufen werden kann, muss die Anwendung bei Azure AD registriert und so konfiguriert sein, dass Lese- oder Lese-/Schreibzugriff auf das Verzeichnis zulässig ist. Weitere Informationen finden Sie unter Accessing the Graph API im Thema Adding, Updating, and Removing an Application.

Die Graph-API bietet die folgenden Funktionen:

  • REST-API-Endpunkte: Die Graph-API ist ein RESTful-Dienst, der aus Endpunkten besteht, auf die mithilfe von HTTP-Standardanforderungen zugegriffen wird. Die Graph-API unterstützt XML- oder JSON-Inhaltstypen (Javascript Object Notation) für Anforderungen und Antworten. Weitere Informationen finden Sie unter REST-API-Referenz zu Azure AD Graph.

  • Authentifizierung mit Azure AD: Jede Anforderung für die Graph-API muss durch Anfügen eines JSON-Webtokens (JWT) im Header Authorization der Anforderung authentifiziert werden. Dieses Token wird durch eine Anforderung an den Tokenendpunkt von Azure AD und das Bereitstellen gültiger Anmeldeinformationen abgerufen. Sie können die Datenflüsse für OAuth 2.0-Clientanmeldeinformationen, Authorization Code Grant oder OpenID Connect verwenden, um ein Token für den Aufruf von Graph abzurufen. Weitere Informationen finden Sie unter Authentication Scenarios for Azure AD.

  • Rollenbasierte Autorisierung (RBAC): Sicherheitsgruppen werden verwendet, um RBAC in der Graph-API auszuführen. Wenn Sie z. B. ermitteln möchten, ob ein Benutzer Zugriff auf eine bestimmte Ressource besitzt, kann die Anwendung den Vorgang Überprüfen der Gruppenmitgliedschaft (transitiv) aufrufen, der true oder false zurückgibt. Weitere Informationen zu RBAC in Azure AD finden Sie unter Autorisierung mit Azure Active Directory.

  • Differenzielle Abfrage: Wenn Sie überprüfen möchten, ob zwischen zwei Zeitspannen Änderungen in einem Verzeichnis aufgetreten sind, ohne die Graph-API häufig abzufragen, können Sie eine differenzielle Abfrage verwenden. Dieser Typ von Abfrage gibt nur die Änderungen zurück, die nach der vorherigen differenziellen Abfrageanforderung und der aktuellen Anforderung erfolgt sind. Weitere Informationen finden Sie unter Differenzielle Abfragen in Azure AD Graph.

  • Verzeichniserweiterungen: Wenn Sie eine Anwendung entwickeln, die eindeutige Eigenschaften für Verzeichnisobjekte lesen oder schreiben muss, können Sie mithilfe der Graph-API Erweiterungswerte registrieren und verwenden. Wenn Ihre Anwendung z. B. eine Eigenschaft Skype-ID für jeden Benutzer erfordert, können Sie die neue Eigenschaft im Verzeichnis registrieren. Sie steht dann für jedes Benutzerobjekt zur Verfügung. Weitere Informationen finden Sie unter Verzeichniserweiterungen der Azure AD Graph-API.

Die Graph-API ermöglicht eine Vielzahl von Anwendungsszenarien. Die folgenden Szenarien werden häufig verwendet:

  • Branchenanwendungen (einzelner Mandant): In diesem Szenario arbeitet ein Unternehmensentwickler für eine Organisation, die über ein Office 365-Abonnement verfügt. Der Entwickler erstellt eine Webanwendung, die mit Azure AD interagiert, um Aufgaben wie etwa das Zuweisen einer Lizenz zu einem Benutzer auszuführen. Für diese Aufgabe ist der Zugriff auf die Graph-API erforderlich. Der Entwickler registriert daher die Anwendung mit einem einzelnen Mandanten in Azure AD und konfiguriert Lese- und Schreibberechtigungen für die Graph-API. Anschließend wird die Anwendung für die Verwendung eigener Anmeldeinformationen oder der Anmeldeinformationen des aktuell angemeldeten Benutzers konfiguriert, um ein Token zum Aufrufen der Graph-API abzurufen.

  • Software als Dienstanwendung (mehrinstanzenfähig): In diesem Szenario entwickelt ein unabhängiger Softwarehersteller (Independent Software Vendor, ISV) eine Anwendung, die Benutzerverwaltungsfunktionen für andere Organisationen bereitstellt, die Azure AD verwenden. Diese Funktionen erfordern den Zugriff auf Verzeichnisobjekte. Die Anwendung muss daher die Graph-API aufrufen. Der Entwickler registriert die Anwendung in Azure AD, konfiguriert Lese- und Schreibberechtigungen für die Graph-API und aktiviert dann externen Zugriff, damit eine andere Organisation der Verwendung der Anwendung in ihrem Verzeichnis zustimmen kann. Wenn sich ein Benutzer in der anderen Organisation bei der Anwendung erstmals authentifiziert, wird ein Zustimmungsdialogfeld angezeigt, das die entsprechenden Berechtigungen erfordert, damit die Anwendung im Auftrag des Benutzers auf die Graph-API zugreifen kann.

Siehe auch

Anzeigen:
© 2014 Microsoft