Exportar (0) Imprimir
Expandir Tudo

API Gráfica do Azure AD

Atualizado: junho de 2014

A API do Graph do Active Directory do Azure fornece acesso programático ao Azure AD por meio dos pontos de extremidade da API do REST. Os aplicativos podem usar a API do Graph para realizar operações de criação, leitura, atualização e exclusão (CRUD) nos dados e objetos do diretório. Por exemplo, a API do Graph oferece suporte às seguintes operações comuns para um objeto de usuário:

  • Criar um novo usuário em um diretório

  • Obter propriedades detalhadas de um usuário, como seus grupos

  • Atualizar as propriedades de um usuário, como sua localização e número de telefone, ou alterar sua senha

  • Verificar a associação de um usuário a um grupo em relação ao acesso baseado em função

  • Desabilitar a conta de um usuário ou excluí-la por completo

Além dos objetos do usuário, você pode realizar operações semelhantes em outros objetos, como grupos e aplicativos. Para chamar a API do Graph em um diretório, o aplicativo deve estar registrado no Azure AD e configurado para acesso de leitura ou leitura/gravação ao diretório. Para obter mais informações, consulte Accessing the Graph API no tópico Adding, Updating, and Removing an Application.

A API do Graph fornece os seguintes recursos:

  • Pontos de extremidade da API do REST: A API do Graph é um serviço RESTful constituído de pontos de extremidade acessados por meio das solicitações HTTP padrão. A API do Graph suporta os tipos de conteúdo XML ou Javascript Object Notation (JSON) para solicitações e respostas. Para obter mais informações, consulte Referência da API REST do Gráfico do AD do Azure.

  • Autenticação com o Azure AD: Toda solicitação à API do Graph deve ser autenticada anexando-se um JSON Web Token (JWT) no cabeçalho Authorization da solicitação. Para adquirir esse token, é preciso fazer uma solicitação ao ponto de extremidade do Azure AD e fornecer credenciais válidas. Você pode usar o fluxo de credenciais do cliente OAuth 2.0, o fluxo de concessão de códigos de autorização ou o OpenID Connect para adquirir um token para chamar o Graph. Para obter mais informações, consulte Authentication Scenarios for Azure AD.

  • Autorização Baseada em Função (RBAC): Grupos de segurança são usados para executar o RBAC na API do Graph. Por exemplo, se você quiser verificar se um usuário tem acesso a um recurso específico, o aplicativo pode chamar a operação Verificar associação de grupo (transitiva), que retorna true ou false. Para obter mais informações sobre o RBAC no Azure AD, consulte Autorização com o Azure Active Directory.

  • Consulta Diferencial: Se quiser verificar alterações em um diretório entre dois períodos de tempo sem ter que fazer consultas frequentes à API do Graph, você pode fazer uma solicitação de consulta diferencial. Esse tipo de solicitação retornará somente as alterações feitas entre a solicitação de consulta diferencial anterior e a atual. Para obter mais informações, consulte Consulta diferencial do Azure AD Graph.

  • Extensões de Diretório: Se você estiver desenvolvendo um aplicativo que precise ler ou gravar propriedades exclusivas para objetos de diretório, poderá registrar e usar valores de extensão usando a API do Graph. Por exemplo, se o seu aplicativo exigir uma propriedade Skype ID para cada usuário, você poderá registrar a nova propriedade no diretório e ela estará disponível em cada objeto de usuário. Para obter mais informações, consulte Extensões de diretório da API Gráfica do AD do Azure.

A API do Graph habilita muitos cenários de aplicativo. Os seguintes cenários são os mais comuns:

  • Aplicativo de Linha de Negócios (Locatário Único): Nesse cenário, um desenvolvedor empresarial trabalha para uma organização que tem uma assinatura do Office 365. O desenvolvedor está criando um aplicativo Web que interage com o Azure AD para realizar tarefas como a atribuição de uma licença a um usuário. Essa tarefa exige acesso à API do Graph, portanto, o desenvolvedor registra o aplicativo de locatário único no Azure AD e configura permissões de leitura e gravação para a API do Graph. Em seguida, o aplicativo é configurado para usar suas próprias credenciais ou aquelas do usuário conectado no momento para adquirir um token e chamar a API do Graph.

  • Aplicativo SaaS (Multilocatário): Neste cenário, um fornecedor de software independente (ISV) está desenvolvendo um aplicativo que fornece recursos de gerenciamento de usuário para outras organizações que usam o Azure AD. Esses recursos exigem acesso a objetos do diretório e, portanto, o aplicativo precisa chamar a API do Graph. O desenvolvedor registra o aplicativo no Azure AD, configura permissões de leitura e gravação para a API do Graph e, em seguida, habilita o acesso externo para que outra organização possa consentir o uso do aplicativo em seu diretório. Quando o usuário na outra organização autentica o aplicativo pela primeira vez, ele vê uma caixa de diálogo de consentimento que requer sua permissão para que o aplicativo possa acessar a API do Graph em seu nome.

Consulte também

Mostrar:
© 2014 Microsoft