Esporta (0) Stampa
Espandi tutto

API di Azure AD Graph

Aggiornamento: giugno 2014

L'API di Azure Active Directory Graph consente l'accesso a livello di codice ad Azure AD attraverso gli endpoint dell'API REST. Le applicazioni possono usare l'API Graph per le operazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD, Create, Read, Update, Delete) su oggetti e dati della directory. Ad esempio, l'API Graph supporta le seguenti operazioni comuni per un oggetto utente:

  • Creare un nuovo utente in una directory

  • Recuperare le proprietà dettagliate di un utente, ad esempio i gruppi

  • Aggiornare delle proprietà di un utente, ad esempio la località e il numero di telefono, oppure modificare le password

  • Controllare l'appartenenza a un gruppo di un utente per l'accesso basato sui ruoli

  • Disabilitare o eliminare completamente l'account di un utente

Oltre agli oggetti utente, è possibile eseguire operazioni simili su altri oggetti come gruppi e applicazioni. Per chiamare l'API Graph su una directory, l'applicazione deve essere registrata con Azure AD ed essere configurata per consentire l'accesso in lettura o in lettura/scrittura alla directory. Per altre informazioni, vedere Accessing the Graph API nell'argomento Adding, Updating, and Removing an Application.

L'API Graph offre le seguenti funzionalità:

  • Endpoint dell'API REST: l'API Graph è un servizio RESTful che include endpoint accessibili mediante richieste HTTP standard. L'API Graph supporta i tipi di contenuto XML o Javascript Object Notation (JSON) per le richieste e le risposte. Per altre informazioni, vedere Riferimento all'API REST di Azure AD Graph.

  • Autenticazione con Azure AD: ogni richiesta all'API Graph deve essere autenticata aggiungendo un token Web JSON (JWT) nell'intestazione Authorization della richiesta. Questo token viene acquisito mediante una richiesta all'endpoint token di Azure AD e fornendo credenziali valide. Per acquisire un token per chiamare Graph, è possibile usare il flusso di credenziali client OAuth 2.0, il flusso di concessione del codice di autorizzazione o OpenID Connect. Per altre informazioni, vedere Authentication Scenarios for Azure AD.

  • Autorizzazione basata sui ruoli (RBAC): i gruppi di sicurezza vengono usati per il controllo RBAC nell'API Graph. Ad esempio, per determinare se un utente ha accesso a una specifica risorsa, l'applicazione può chiamare l'operazione Controllo dell'appartenenza a un gruppo (transitiva), che restituisce true o false. Per altre informazioni su RBAC in Azure AD, vedere Autorizzazione con Azure Active Directory.

  • Query differenziale: per controllare le modifiche in una directory in un determinato intervallo di tempo senza dover inviare un numero eccessivo di query all'API Graph, è possibile usare una richiesta di query differenziale. Questo tipo di richiesta restituisce solo le modifiche apportate nell'intervallo di tempo tra la richiesta di query differenziale precedente e quella corrente. Per altre informazioni, vedere Query differenziale di Azure AD Graph.

  • Estensioni di directory: se si sta sviluppando un'applicazione che richiede proprietà di lettura o scrittura univoche per gli oggetti directory, è possibile registrare e usare i valori dell'estensione mediante l'API Graph. Ad esempio, se l'applicazione richiede una proprietà ID Skype per ciascun utente, è possibile registrare la nuova proprietà nella directory per averla disponibile in ogni oggetto utente. Per altre informazioni, vedere Estensioni di directory dell'API Azure AD Graph.

L'API Graph consente diversi scenari di applicazione. Di seguito sono riportati gli scenari più frequenti:

  • Applicazione line-of-business (single-tenant): in questo scenario, uno sviluppatore aziendale lavora per un'organizzazione con una sottoscrizione Office 365. Lo sviluppatore sta creando un'applicazione Web che interagisce con Azure AD per eseguire diverse attività, ad esempio l'assegnazione di una licenza a un utente. Questa attività richiede l'accesso all'API Graph, in modo che lo sviluppatore possa registrare l'applicazione single-tenant in Azure AD e configurare le autorizzazioni di lettura e scrittura per l'API Graph. Quindi, l'applicazione viene configurata in modo da usare le proprie credenziali o quelle dell'utente attualmente collegato per acquisire un token per chiamare l'API Graph.

  • Applicazione SaaS (Multi-Tenant): in questo scenario, un fornitore di software indipendente (ISV) sta sviluppando un'applicazione che fornisce funzionalità per la gestione degli utenti per altre organizzazioni che usano Azure AD. Queste funzionalità richiedono l'accesso agli oggetti directory, quindi l'applicazione deve chiamare l'API Graph. Lo sviluppatore registra l'applicazione in Azure AD, configura le autorizzazioni in lettura e scrittura per l'API Graph, quindi abilita l'accesso esterno in modo che un'altra organizzazione possa accettare l'uso dell'applicazione nella propria directory. Quando un utente dell'altra organizzazione esegue l'autenticazione nell'applicazione per la prima volta, viene visualizzata una finestra di dialogo di consenso che richiede le autorizzazioni per l'accesso dell'applicazione all'API Graph per conto dell'utente.

Vedere anche

Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft