Esporta (0) Stampa
Espandi tutto

API di Azure AD Graph

Aggiornamento: ottobre 2014

L'API di Azure Active Directory Graph consente l'accesso a livello di codice ad Azure AD attraverso gli endpoint dell'API REST. Le applicazioni possono usare l'API Graph per le operazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD, Create, Read, Update, Delete) su oggetti e dati della directory. Ad esempio, l'API Graph supporta le seguenti operazioni comuni per un oggetto utente:

  • Creare un nuovo utente in una directory

  • Recuperare le proprietà dettagliate di un utente, ad esempio i gruppi

  • Aggiornare delle proprietà di un utente, ad esempio la località e il numero di telefono, oppure modificare le password

  • Controllare l'appartenenza a un gruppo di un utente per l'accesso basato sui ruoli

  • Disabilitare o eliminare completamente l'account di un utente

Oltre agli oggetti utente, è possibile eseguire operazioni simili su altri oggetti come gruppi e applicazioni. Per chiamare l'API Graph su una directory, l'applicazione deve essere registrata con Azure AD ed essere configurata per consentire l'accesso alla directory. Ciò si ottiene in genere tramite un flusso di consenso utente o amministratore. Per altre informazioni, vedere Accessing the Graph API nell'argomento Aggiunta, aggiornamento e rimozione di un'applicazione.

L'API Graph offre le seguenti funzionalità:

  • Endpoint dell'API REST: l'API Graph è un servizio RESTful che include endpoint accessibili mediante richieste HTTP standard. L'API Graph supporta i tipi di contenuto XML o Javascript Object Notation (JSON) per le richieste e le risposte. Per altre informazioni, vedere Riferimento all'API REST di Azure AD Graph.

  • Autenticazione con Azure AD: ogni richiesta all'API Graph deve essere autenticata aggiungendo un token Web JSON (JWT) nell'intestazione Authorization della richiesta. Questo token viene acquisito mediante una richiesta all'endpoint token di Azure AD e fornendo credenziali valide. Per acquisire un token per chiamare Graph, è possibile usare il flusso di credenziali client OAuth 2.0 o il flusso di concessione del codice di autorizzazione. Per altre informazioni, vedere Scenari di autenticazione per Azure AD e OAuth 2.0 in Azure AD.

  • Autorizzazione basata sui ruoli (RBAC): i gruppi di sicurezza vengono usati per il controllo degli accessi in base al ruolo nell'API Graph. Ad esempio, per determinare se un utente ha accesso a una specifica risorsa, l'applicazione può chiamare l'operazione Controllo dell'appartenenza a un gruppo (transitiva), che restituisce true o false. Per altre informazioni sul Controllo degli accessi in base al ruolo in Azure AD, vedere Autorizzazione con Azure Active Directory.

  • Query differenziale: per controllare le modifiche in una directory in un determinato intervallo di tempo senza dover inviare un numero eccessivo di query all'API Graph, è possibile usare una richiesta di query differenziale. Questo tipo di richiesta restituisce solo le modifiche apportate nell'intervallo di tempo tra la richiesta di query differenziale precedente e quella corrente. Per altre informazioni, vedere Query differenziale dell'API Graph di Azure AD.

  • Estensioni di directory: se si sta sviluppando un'applicazione che richiede proprietà di lettura o scrittura univoche per gli oggetti directory, è possibile registrare e usare i valori dell'estensione mediante l'API Graph. Ad esempio, se l'applicazione richiede una proprietà ID Skype per ciascun utente, è possibile registrare la nuova proprietà nella directory per averla disponibile in ogni oggetto utente. Per altre informazioni, vedere Estensioni dello schema di directory dell'API Graph di Azure AD.

L'API Graph consente diversi scenari di applicazione. Di seguito sono riportati gli scenari più frequenti:

  • Applicazione line-of-business (single-tenant): in questo scenario, uno sviluppatore aziendale lavora per un'organizzazione con una sottoscrizione Office 365. Lo sviluppatore sta creando un'applicazione Web che interagisce con Azure AD per eseguire diverse attività, ad esempio l'assegnazione di una licenza a un utente. Questa attività richiede l'accesso all'API Graph, in modo che lo sviluppatore possa registrare l'applicazione single-tenant in Azure AD e configurare le autorizzazioni di lettura e scrittura per l'API Graph. Quindi, l'applicazione viene configurata in modo da usare le proprie credenziali o quelle dell'utente attualmente collegato per acquisire un token per chiamare l'API Graph.

  • Applicazione SaaS (Multi-Tenant): in questo scenario, un fornitore di software indipendente (ISV) sta sviluppando un'applicazione Web multi-tenant ospitata che fornisce funzionalità per la gestione degli utenti per altre organizzazioni che usano Azure AD. Queste funzionalità richiedono l'accesso agli oggetti directory, quindi l'applicazione deve chiamare l'API Graph. Lo sviluppatore registra l'applicazione in Azure AD, la configura per richiedere autorizzazioni di lettura e scrittura per l'API Graph, quindi abilita l'accesso esterno in modo che altre organizzazioni possano accettare l'uso dell'applicazione nella propria directory. Quando un utente in un'altra organizzazione esegue l'autenticazione nell'applicazione per la prima volta, viene visualizzata una finestra di dialogo di consenso con le autorizzazioni richieste dall'applicazione. Concedendo il consenso l'applicazione riceverà le autorizzazioni richieste per l'API Graph nella directory dell'utente. Per altre informazioni sul framework di consenso, vedere Overview of the Consent Framework.

Vedere anche

Mostra:
© 2014 Microsoft