Продажи: 1-800-867-1389

Azure AD Graph API

Обновлено: Июнь 2014 г.

Azure Active Directory Graph API обеспечивает программный доступ к Azure AD через конечные точки API-интерфейса REST. Приложения могут использовать Graph API для выполнений операций создания, чтения, обновления и удаления (CRUD) с данными и объектами каталогов. Например, Graph API поддерживает следующие операции с объектом пользователя:

  • Создание пользователя в каталоге

  • Получение подробных сведений о пользователях, например группах пользователя

  • Обновление свойств пользователя, например расположения и номера телефона, или изменение пароля

  • Проверка членства пользователя в группе для доступа на основе ролей

  • Отключение или полное удаление учетной записи пользователя

В дополнение к объектам пользователей вы можете выполнять аналогичные операции с другими объектами, такими как группы и приложения. Чтобы вызвать Graph API в каталоге, приложение должно быть зарегистрировано в Azure AD и в нем должны быть настроены права для чтения или чтения и записи каталога. Дополнительные сведения см. в подразделе Accessing the Graph API раздела Adding, Updating, and Removing an Application.

Graph API предоставляет следующие возможности:

  • Конечные точки API REST. Graph API — эта служба, поддерживающая протокол REST, которая состоит из конечных точек, доступных с помощью стандартных HTTP-запросов. Graph API поддерживает типы контента XML и JSON для запросов и ответов. Дополнительные сведения см. в Справочник по Azure AD Graph REST API.

  • Проверка подлинности с помощью Azure AD. Каждый запрос Graph API должен пройти проверку подлинности, добавив веб-токен JSON (JWT) в заголовок Authorization запроса. Для получения этого токена отправляется запрос к конечной точке токена Azure AD и допустимыми учетными данными. Вы можете использовать поток клиентских учетных данных OAuth 2.0, поток разрешений кода авторизации или OpenID Connect, чтобы получить токен для вызова Graph. Дополнительные сведения см. в Authentication Scenarios for Azure AD.

  • Ролевая авторизация (RBAC). Для реализации RBAC в Graph API используются группы безопасности. Например, чтобы определить, есть ли у пользователя доступ к определенному ресурсу, приложение может вызвать операцию Проверка членства в группе (транзитивная операция), которая возвращает значение true или false. Дополнительные сведения о ролевой авторизации в Azure AD см. в разделе Авторизация с помощью Azure Active Directory.

  • Дифференциальный запрос. Чтобы проверить изменения в каталоге между двумя периодами без частых запросов к Graph API, можно отправить дифференциальный запрос. Такой тип запроса возвращает только изменения, сделанные с момента предыдущего дифференциального запроса до текущего запроса. Дополнительные сведения см. в Дифференциальный запрос Azure AD Graph.

  • Расширения каталогов. Если вы разрабатываете приложение, которому требуется читать или записывать уникальные свойства для объектов каталогов, вы можете зарегистрировать и использовать значения расширений с помощью Graph API. Например, если приложению требуется идентификатор Skype для каждого пользователя, вы можете зарегистрировать новое свойство в каталоге, которое будет доступно для каждого объекта пользователя. Дополнительные сведения см. в Расширения каталогов API Graph Azure AD.

Graph API позволяет реализовать множество различных сценариев. Далее перечислены наиболее распространенные из них:

  • Бизнес-приложение (однотенантное). В этом сценарии разработчик работает в организации с подпиской на Office 365. Разработчик создает веб-приложение, которое взаимодействует с Azure AD для выполнения задач, таких как назначение лицензии пользователю. Для этой задачи требуется доступ к Graph API, поэтому разработчик регистрирует однотенантное приложение в Azure AD и настраивает разрешения чтения и записи для Graph API. Затем приложение настраивается для использования собственных учетных данных или учетных данных, вошедшего в систему пользователя, для получения токена и вызова Graph API.

  • Приложение "ПО как услуга" (мультитенантное). В этом сценарии независимый поставщик ПО создает приложение, предоставляющее функции управления пользователями другим организациям, которые используют Azure AD. Для этих функций требуется доступ к объектам каталога, поэтому приложению необходимо вызывать Graph API. Разработчик регистрирует приложение в Azure AD, настраивает разрешения чтения и записи для Graph API, а затем включает внешний доступ, чтобы другая организация могла разрешить использовать приложение в их каталоге. Когда пользователь в другой организации впервые проходит проверку подлинности в приложении, отображается диалоговое окно запроса согласия на доступ приложения к Graph API от лица пользователя.

См. также

Была ли вам полезна эта информация?
(1500 символов осталось)
Спасибо за ваш отзыв
Показ:
© 2014 Microsoft