내보내기(0) 인쇄
모두 확장

Azure AD Graph API

업데이트 날짜: 2014년 6월

Azure Active Directory Graph API는 REST API 끝점을 통해 Azure AD에 대한 프로그래밍 방식의 액세스를 제공합니다. 응용 프로그램은 Graph API를 사용하여 디렉터리 데이터 및 개체에 대한 만들기, 읽기, 업데이트 및 삭제(CRUD) 작업을 수행할 수 있습니다. 예를 들어 Graph API는 사용자 개체에 대해 다음과 같은 일반적인 작업을 지원합니다.

  • 디렉터리에서 새 사용자 만들기

  • 사용자의 자세한 속성(예: 해당 그룹) 가져오기

  • 사용자 속성(예: 위치 및 전화 번호) 업데이트 또는 암호 변경

  • 역할 기반 액세스에 대한 사용자의 그룹 멤버 자격 확인

  • 사용자 계정 비활성화 또는 완전히 삭제

사용자 개체 외에 그룹 및 응용 프로그램과 같은 다른 개체에 대해서도 유사한 작업을 수행할 수 있습니다. 디렉터리에 대해 Graph API를 호출하려면 응용 프로그램을 Azure AD에 등록하고 디렉터리에 대한 읽기 또는 읽기/쓰기 액세스를 허용하도록 구성해야 합니다. 자세한 내용은 Adding, Updating, and Removing an Application 항목의 Accessing the Graph API를 참조하세요.

Graph API는 다음과 같은 기능을 제공합니다.

  • REST API 끝점: Graph API는 표준 HTTP 요청을 통해 액세스되는 끝점으로 구성된 RESTful 서비스입니다. Graph API는 요청 및 응답에 대해 XML 또는 JSON(Javascript Object Notation) 콘텐츠 형식을 지원합니다. 자세한 내용은 Azure AD 그래프 REST API 참조를 참조하십시오.

  • Azure AD를 사용한 인증: Graph API에 대한 모든 요청은 요청의 Authorization 헤더에 JWT(JSON 웹 토큰)를 추가하여 인증되어야 합니다. 이 토큰은 Azure AD의 토큰 끝점에 대한 요청을 만들고 유효한 자격 증명을 제공하여 획득합니다. OAuth 2.0 클라이언트 자격 증명 흐름, 인증 코드 권한 흐름 또는 OpenID Connect를 사용하여 Graph를 호출하기 위한 토큰을 획득할 수 있습니다. 자세한 내용은 Authentication Scenarios for Azure AD를 참조하십시오.

  • RBAC(역할 기반 권한 부여): Graph API에서 RBAC를 수행하는 데 사용되는 보안 그룹니다. 예를 들어 사용자가 특정 리소스에 대한 액세스 권한을 가지고 있는지를 확인하려는 경우 응용 프로그램은 그룹 멤버 자격 확인(이행적) 작업(true 또는 false를 반환함)을 호출할 수 있습니다. Azure AD의 RBAC에 대한 자세한 내용은 Azure Active Directory를 사용한 권한 부여를 참조하세요.

  • 차등 쿼리: Graph API에 대한 쿼리를 자주 만들 필요 없이 두 기간 간에 디렉터리에서 발생한 변경 내용을 확인하려는 경우 차등 쿼리 요청을 만들면 됩니다. 이 요청 유형은 이전 차등 쿼리 요청과 현재 요청 간에 발생한 변경 내용만 반환합니다. 자세한 내용은 Azure AD Graph 차등 쿼리를 참조하십시오.

  • 디렉터리 확장: 디렉터리 개체의 고유 속성을 읽거나 써야 하는 응용 프로그램을 개발 중인 경우 Graph API를 사용하여 확장 값을 등록 및 사용할 수 있습니다. 예를 들어 응용 프로그램에 각 사용자의 Skype ID 속성이 필요한 경우 디렉터리에 새 속성을 등록하면 모든 사용자 개체에 대해 이 속성을 사용할 수 있습니다. 자세한 내용은 Azure AD Graph API 디렉터리 확장를 참조하십시오.

Graph API는 많은 응용 프로그램 시나리오를 가능하게 합니다. 다음 시나리오는 가장 일반적인 것입니다.

  • LOB(기간 업무)(단일 테넌트) 응용 프로그램: 이 시나리오에서는 엔터프라이즈 개발자가 Office 365 구독이 있는 조직을 위해 일합니다. 개발자는 Azure AD와 상호 작용하여 사용자에게 라이선스를 할당하는 등의 작업을 수행하는 웹 응용 프로그램을 작성합니다. 이 작업을 수행하려면 Graph API에 액세스해야 하므로 개발자는 Azure AD에서 단일 테넌트 응용 프로그램을 등록하고 Graph API에 대한 읽기 및 쓰기 권한을 구성합니다. 그런 다음 응용 프로그램이 고유 자격 증명이나 현재 로그인한 사용자의 자격 증명을 사용하여 Graph API를 호출하기 위한 토큰을 획득하도록 구성됩니다.

  • SaaS(Software as a Service) 응용 프로그램(다중 테넌트): 이 시나리오에서는 ISV(Independent Software Vendor)가 Azure AD를 사용하는 다른 조직에 사용자 관리 기능을 제공하는 응용 프로그램을 개발합니다. 이러한 기능을 사용하려면 디렉터리 개체에 액세스해야 하므로 응용 프로그램에서 Graph API를 호출해야 합니다. 개발자는 Azure AD에서 응용 프로그램을 등록하고 Graph API에 대한 읽기 및 쓰기 권한을 구성한 후 다른 조직이 해당 디렉터리에서 응용 프로그램을 사용하는 것에 동의할 수 있도록 외부 액세스를 가능하도록 합니다. 다른 조직의 사용자가 응용 프로그램에 처음 인증하는 경우 응용 프로그램이 해당 사용자를 대신하여 Graph API에 액세스할 수 있도록 권한을 요구하는 동의 대화 상자가 표시됩니다.

참고 항목

Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft