Esporta (0) Stampa
Espandi tutto

Informazioni generali su Graph di Active Directory di Windows Azure

Aggiornamento: aprile 2014

Graph di AD di Windows Azure consente l'accesso a livello di codice ad Active Directory (AD) di Windows Azure attraverso gli endpoint dell'API REST. Con Graph di AD di Windows Azure gli sviluppatori possono eseguire le operazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD, Create, Read, Update, Delete) su oggetti di AD di Windows Azure, ad esempio utenti e gruppi. Nel mondo reale, in genere, si accede a livello di codice ad Active Directory di Windows Server tramite le librerie ADO.NET o ADSI. Nel cloud si accede a livello di codice ad AD di Windows Azure mediante Graph di AD di Windows Azure.

Graph di AD di Windows Azure offre il seguente set di funzionalità grazie al quale sono possibili diversi scenari che verranno discussi nella sezione successiva:

  • REST API endpoints. Tramite Graph di AD di Windows Azure vengono esposti gli endpoint REST in modo che gli sviluppatori possano utilizzarli nelle proprie applicazioni. Graph di AD di Windows Azure è conforme al protocollo OData v3, che ne consente l'utilizzo da qualsiasi architettura moderna dell'applicazione e della piattaforma di sviluppo, a partire dai dispositivi mobili fino alle estensioni per Office 365. Per ulteriori informazioni, vedere Riferimento all'API REST di Graph di AD di Windows Azure.

  • Windows Azure AD Authentication. Per poter eseguire qualsiasi operazione disponibile tramite Graph, è necessario autenticare in primo luogo il client. Graph si basa su AD di Windows Azure per l'autenticazione. Tramite Graph viene consentita una federazione con AD di Windows Azure, che viene utilizzata come servizio token di sicurezza (STS) per le richieste client. Per ulteriori informazioni, vedere Autenticazione di Graph di AD di Windows Azure.

  • Role-Based Authorization. Le autorizzazioni di accesso al client vengono gestite utilizzando il controllo di accesso basato sui ruoli (RBAC). Alle applicazioni client possono essere assegnati ruoli di amministratore diversi che consentono privilegi quali la lettura e la scrittura. I ruoli vengono gestiti tramite il portale di gestione di Windows Azure o, in alternativa, con gli script e i cmdlet di PowerShell per AD di Windows Azure. Per ulteriori informazioni, vedere Graph di AD di Windows Azure e controllo di accesso basato sui ruoli.

Con Graph di AD di Windows Azure sono possibili due scenari chiave:

  • Line of Business Applications (LOB). In questo scenario, uno sviluppatore aziendale e l'organizzazione hanno acquistato una sottoscrizione che prevede AD di Windows Azure, ad esempio Office 365 o Windows Intune. Office 365 soddisfa le esigenze dell'organizzazione soprattutto da un punto di vista funzionale, ma vi sono alcune necessità non contemplate nel servizio. In qualità di sviluppatore aziendale, è necessario estendere le funzionalità di Office 365. Per questa operazione può essere necessario l'accesso agli oggetti di AD di Windows Azure.

  • Applicazioni multi-tenant per cui è richiesto l'accesso ad AD di Windows Azure. In questo scenario, viene compilata un'applicazione multi-tenant per la quale è necessario l'accesso ai dati di directory di un tenant (molto simile a un'applicazione locale in cui viene utilizzato LDAP per l'esecuzione di una query sulla directory locale. L'accesso alla directory per la lettura o la scrittura di dati viene eseguito chiamando Graph API. I casi di utilizzo tipici prevedono la selezione di utenti, la convalida dell'appartenenza al gruppo di sicurezza di un utente, l'aggiornamento dell'appartenenza a un gruppo, il provisioning di nuovi utenti e gruppi, la reimpostazione delle password degli utenti e la convalida delle informazioni sulle licenze di utenti o di un tenant.

  • Creating Reusable Features That Require Windows Azure AD Access. In questo scenario, un fornitore di software indipendente (ISV) è specializzato nella creazione e nella vendita di funzionalità riutilizzabili tramite cui vengono estese le funzionalità delle applicazioni cloud. Come ISV si desidera offrire ai clienti funzionalità riutilizzabili per le quali viene richiesto l'accesso agli oggetti di AD di Windows Azure.

Mostra:
© 2014 Microsoft