销售电话: 1-800-867-1380

Windows Azure Active Directory Graph 概述

更新时间: 2014年4月

Windows Azure AD Graph 通过 REST API 终结点提供对 Windows Azure Active Directory (AD) 的编程访问。使用 Windows Azure AD Graph,开发人员可以对 Windows Azure AD 对象(如用户和组)执行创建、读取、更新和删除 (CRUD) 操作。在本地,您通常使用 ADSI 或 ADO.NET 库以编程方式访问 Windows Server Active Directory。在云中,您使用 Windows Azure AD Graph 以编程方式访问 Windows Azure AD。

Windows Azure AD Graph 提供支持几种方案(将在下一节讨论这些方案)的以下功能集:

  • REST API 终结点:Windows Azure AD Graph 公开 REST 终结点以便开发人员可以在自己的应用程序中使用它。Windows Azure AD Graph 遵守 OData v3 协议,这使得可以从目前的任何开发平台和应用程序体系结构(从移动设备到 Office 365 扩展)来使用它。有关更多信息,请参见 Windows Azure AD Graph REST API 参考

  • Windows Azure AD 身份验证:为了可执行通过 Graph 提供的任意操作,需要首先对客户端进行身份验证。Graph 依赖 Windows Azure AD 进行身份验证。Graph 与 Windows Azure AD 结合使用,为客户端请求提供安全令牌服务 (STS)。有关更多信息,请参见 Windows Azure AD Graph 身份验证

  • 基于角色的授权:使用基于角色的访问控制 (RBAC) 管理客户端访问权限。可以为客户端应用程序分配不同的管理员角色以支持读、写等权限。使用 Windows Azure 管理门户或使用 Windows Azure AD PowerShell Cmdlet 和脚本来管理角色。有关更多信息,请参见 Windows Azure AD Graph 和基于角色的访问控制

Windows Azure AD Graph 支持两种主要方案:

  • 业务线应用程序 (LOB):在此方案中,您是企业开发人员,您的组织购买了包括 Windows Azure AD 的订阅(例如 Office 365 或 Windows Intune)。Office 365 功能只是大致满足您组织的需求,并不能满足某些需求。作为企业开发人员,您需要扩展 Office 365 的功能。这可能要求访问 Windows Azure AD 对象。

  • 需要 Windows Azure AD 访问权限的多租户应用程序: 在此方案中,您要构建需要访问租户的目录数据的多租户应用程序(与使用 LDAP 查询本地目录的本地应用程序很相似)。通过调用 Graph API 来授予目录访问权限以读取或写入数据。典型用例包括人员选择器,它验证用户的安全组成员身份、更新组成员身份、设置新的用户和组、重置用户的密码以及验证租户或用户的许可信息。

  • 创建需要 Windows Azure AD 访问权限的可重用功能:在此方案中,您是独立软件供应商 (ISV),致力于开发和销售扩展云应用程序功能的可重用功能。作为 ISV,您想向客户提供需要访问 Windows Azure AD 对象的可重用功能。

本文是否对您有所帮助?
(1500 个剩余字符)
感谢您的反馈
显示:
© 2014 Microsoft