セールス: 1-800-867-1380

Azure AD Graph API

更新日: 2014年6月

Azure Active Directory Graph API を使用すると、REST API エンドポイントを介して Azure AD にプログラムでアクセスできます。アプリケーションでは Graph API を使用して、ディレクトリ データおよびオブジェクトに対して、作成、読み取り、更新、および削除 (CRUD) の各操作を実行できます。たとえば、Graph API では、ユーザー オブジェクトに対する次の一般的な操作をサポートしています。

  • ディレクトリに新しいユーザーを作成する

  • ユーザーの詳細なプロパティ (所属するグループなど) を取得する

  • ユーザーのプロパティ (場所や電話番号など) を更新するか、またはユーザーのパスワードを変更する

  • ロールベースのアクセスに対応しているかどうかユーザーのグループ メンバーシップを確認する

  • ユーザーのアカウントを無効にする、または完全に削除する

ユーザーのオブジェクトに加えて、グループやアプリケーションなど、その他のオブジェクトに対して同様の操作を実行することもできます。ディレクトリ上で Graph API を呼び出すには、アプリケーションを Azure AD に登録し、さらにディレクトリへの読み取りアクセスまたは読み取り/書き込みアクセスが許可されるようにアプリケーションを構成する必要があります。詳細については、トピック「Adding, Updating, and Removing an Application」の「Accessing the Graph API」を参照してください。

この Graph API は次の機能を備えています。

  • REST API エンドポイント:Graph API は、標準的な HTTP 要求を使用してアクセスされるエンドポイントから構成された REST ベースの API です。Graph API では、要求および応答のコンテンツの種類として XML または Javascript Object Notation (JSON) をサポートしています。詳細については、「Azure AD Graph REST API リファレンス」を参照してください。

  • Azure AD での認証:Graph API への要求はいずれも、要求の Authorization ヘッダーに JSON Web Token (JWT) を追加することによって認証される必要があります。このトークンを取得するには、Azure AD のトークン エンドポイントに対して要求を送信し、有効な資格情報を提供する必要があります。OAuth 2.0 クライアント資格情報フロー、認証コード付与フロー、または OpenID Connect を使用して Graph を呼び出すトークンを取得できます。詳細については、「Authentication Scenarios for Azure AD」を参照してください。

  • ロール ベース認証 (RBAC):セキュリティ グループは、Graph API 内で RBAC を実行する場合に使用します。たとえば、ユーザーが特定のリソースへのアクセス権を持っているかどうかを判断する場合、アプリケーションを使用して グループ メンバーシップの確認 (推移的) 操作を呼び出すことができます。この操作は true または false を返します。Azure AD の RBAC の詳細については、「Azure Active Directory による承認」を参照してください。

  • 差分クエリ:Graph API に対する頻繁なクエリを実行することなく、2 つの期間の間でディレクトリに変更があるかどうかを確認する場合は、差分クエリ要求を送信することができます。この種の要求は、前の差分クエリ要求と現在のクエリとの間に加えられた変更のみを返します。詳細については、「Azure AD Graph の差分クエリ」を参照してください。

  • ディレクトリ拡張機能:ディレクトリ オブジェクトに対して一意のプロパティの読み取りまたは書き込みを行うことを必要とするアプリケーションを開発している場合は、Graph API を使用して拡張機能値を登録および使用することができます。たとえば、アプリケーションがユーザーごとに Skype ID プロパティを必要とする場合、ディレクトリに新しいプロパティを登録することができ、そのプロパティはすべてのオブジェクトで使用できるようになります。詳細については、「Azure AD Graph API ディレクトリ拡張機能」を参照してください。

Graph API により多くのアプリケーション シナリオを実現できます。最も一般的なシナリオを以下に示します。

  • 基幹業務 (シングル テナント) アプリケーション:このシナリオでは、エンタープライズ開発者は Office 365 サブスクリプションを持つ組織に務めています。開発者は、Azure AD とやり取りしてユーザーへのライセンスの割り当てなどのタスクを実行する Web アプリケーションを作成します。このタスクでは Graph API へのアクセス権が必要となるので、開発者は Azure AD にシングル テナント アプリケーションを登録し、Graph API の読み取りおよび書き込み権限を構成します。アプリケーション独自の資格情報または現在サインインしているユーザーの資格情報のいずれかを使用して、Graph API を呼び出すためのトークンを取得するように、アプリケーションは構成されます。

  • サービス アプリケーション (マルチテナント) としてのソフトウェア:このシナリオでは、独立系ソフトウェア ベンダー (ISV) が、Azure AD を使用している他の組織にユーザー管理機能を提供するアプリケーションを開発しています。これらの機能にはディレクトリ オブジェクトへのアクセス権が必要なので、アプリケーションは Graph API を呼び出す必要があります。開発者は、Azure AD にアプリケーションを登録し、Graph API に対する読み取りおよび書き込み権限を構成し、さらに別の組織がそのディレクトリ内のアプリケーションを使用することに同意できるように外部アクセスを有効にします。他の組織に属するユーザーがアプリケーションを初めて認証すると、アプリケーションがユーザーに代わって Graph API にアクセスできるように、ユーザーの許可を求める同意ダイアログ ボックスが表示されます。

関連項目

この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました
表示:
© 2014 Microsoft