Exporter (0) Imprimer
Développer tout

API Azure AD Graph

Mis à jour: octobre 2014

L'API Azure Active Directory Graph fournit l'accès par programme à Active Directory (AD) d'Azure via des points de terminaison d'API REST. Les applications peuvent utiliser l'API Graph pour effectuer des opérations de création, de lecture, de mise à jour et de suppression (CRUD) sur les données et objets d'annuaire. Par exemple, l'API Graph prend en charge les opérations courantes suivantes pour un objet utilisateur :

  • création d'un utilisateur dans un annuaire ;

  • obtention des propriétés détaillées d'un utilisateur (comme ses groupes) ;

  • mise à jour des propriétés d'un utilisateur (comme son emplacement ou son numéro de téléphone) ou modification de son mot de passe ;

  • vérification de l'appartenance d'un utilisateur à un groupe pour l'accès basé sur le rôle ;

  • désactivation d'un compte d'utilisateur ou suppression totale.

Outre les objets utilisateur, vous pouvez réaliser des opérations similaires sur d'autres objets tels que les groupes et les applications. Pour appeler l'API graphique sur un annuaire, l'application doit être inscrite auprès d'Azure AD et configurée pour permettre l'accès à l'annuaire. Normalement cela est se fait via un flux de consentement d'utilisateur ou administrateur. Pour plus d'informations, consultez Accessing the Graph API dans la rubrique Ajout, mise à jour et suppression d'une application.

L'API Graph fournit les fonctionnalités suivantes :

  • Points de terminaison API REST : l'API Graph est un service RESTful constitué de points de terminaison accessibles à l'aide de requêtes HTTP standards. L'API Graph prend en charge les types de contenus XML ou JSON pour les demandes et les réponses. Pour plus d'informations, consultez Référence pour l'API REST Azure AD Graph.

  • Authentification avec Azure AD : chaque requête transmise à l'API Graph doit être authentifiée via l'ajout d'un jeton Web JSON (JWT) dans l'en-tête Authorization de la requête. Ce jeton est obtenu en exécutant une requête sur un point de terminaison de jeton Azure AD et en fournissant des informations d'identification valides. Vous pouvez utiliser le flux d'informations d'identification du client OAuth 2.0, ou flux d'octroi de code d'autorisation pour acquérir un jeton afin d'appeler l'API graphique. Pour plus d'informations, consultez Scénarios d'authentification pour Azure AD et OAuth 2.0 dans Azure AD.

  • Autorisation basée sur les rôles (RBAC) : les groupes de sécurité sont utilisés pour implémenter l'autorisation basée sur les rôles dans l'API Graph. Par exemple, si vous souhaitez déterminer si un utilisateur a accès à une ressource spécifique, l'application peut appeler l'opération Vérifier l'appartenance au groupe (opération transitive), laquelle renvoie la valeur true ou false. Pour plus d’informations sur l'autorisation basée sur les rôles dans Azure AD, consultez Autorisation avec Azure Active Directory.

  • Requête différentielle : si vous souhaitez vérifier l'apport de modifications dans un annuaire entre deux périodes sans envoyer plusieurs requêtes à l'API Graph, vous pouvez émettre une demande de requête différentielle. Ce type de requête renvoie uniquement les modifications apportées entre la demande de requête différentielle précédente et celle actuelle. Pour plus d'informations, consultez Requête différentielle de l'API Azure AD Graph.

  • Extensions d’annuaire : si vous développez une application devant lire ou écrire des propriétés uniques pour les objets d'annuaire, vous pouvez enregistrer et utiliser les valeurs d'extension à l'aide de l'API Graph. Par exemple, si votre application nécessite une propriété d'identifiant Skype pour chaque utilisateur, vous pouvez enregistrer la nouvelle propriété dans l'annuaire pour qu'elle soit disponible sur chaque objet utilisateur. Pour plus d'informations, consultez Extensions de schéma d'annuaire de l'API Azure AD Graph.

L'API Graph prend en charge de nombreux scénarios d'application. Les scénarios suivants sont les plus courants :

  • Application métier à locataire unique : dans ce scénario, le développeur en entreprise travaille pour une organisation possédant un abonnement Office 365. Le développeur crée une application Web qui interagit avec Azure AD pour effectuer des tâches telles que l'attribution d'une licence à un utilisateur. Cette tâche nécessite d'accéder à l'API Graph, aussi le développeur enregistre l'application à locataire unique dans Azure AD et configure les autorisations de lecture et d'écriture pour l'API Graph. L'application est ensuite configurée pour utiliser ses propres informations d'identification ou celles de l'utilisateur actuellement connecté afin d'obtenir un jeton pour appeler l'API Graph.

  • Logiciel en tant qu'application de service multi-locataire : dans ce scénario, un vendeur de logiciels indépendant (ISV) développe une application web mutualisée hébergée qui offre des fonctionnalités de gestion des utilisateurs pour d'autres organisations utilisant Azure AD. Ces fonctionnalités nécessitent un accès aux objets d'annuaire. L'application a donc besoin d'appeler l'API Graph. Le développeur inscrit l'application dans Azure AD, la configure pour requérir des autorisations de lecture et d'écriture pour l'API graphique, puis active l'accès externe afin que d'autres organisations puissent consentir à utiliser l'application dans leur annuaire. Quand un utilisateur d'une autre organisation s'authentifie auprès de l'application pour la première fois, une boîte de dialogue de consentement affiche les autorisations que l'application requiert. L'octroi du consentement confère à l'application les autorisations demandées pour l'API graphique dans l'annuaire de l'utilisateur. Pour plus d'informations sur l'infrastructure de consentement, consultez Overview of the Consent Framework.

Voir aussi

Afficher:
© 2014 Microsoft