銷售: 1-800-867-1380

Azure AD Graph API

更新日期: 2014年10月

Azure Active Directory Graph API 透過 REST API 端點提供了 Azure AD 的程式設計存取方式。應用程式可以使用 Graph API 來執行目錄資料和物件的建立、讀取、更新及刪除 (CRUD) 作業。例如,Graph API 可支援使用者物件的下列常見作業:

  • 在目錄中建立新使用者

  • 取得使用者的詳細屬性,例如其群組

  • 更新使用者的屬性 (例如其位置和電話號碼),或變更其密碼

  • 檢查使用者的群組成員資格 (以角色為基礎的存取)

  • 停用使用者的帳戶或完全予以刪除

除了使用者物件以外,您可以在其他物件 (例如群組和應用程式) 上執行類似作業。若要在目錄上呼叫 Graph API,此應用程式必須向 Azure AD 註冊並設定為允許存取目錄。這通常是透過使用者或管理員同意流程來達成。如需詳細資訊,請參閱新增、更新及移除應用程式主題中的Accessing the Graph API

Graph API 提供下列功能:

  • REST API 端點:Graph API 是一項 REST 式服務,由使用標準 HTTP 要求存取的端點所構成。Graph API 支援要求和回應的 XML 或 Javascript 物件標記法 (JSON) 內容類型。如需詳細資訊,請參閱Azure AD Graph REST API 參考

  • Azure AD 驗證:必須在要求的 Authorization 標頭中附加 JSON Web Token (JWT),以驗證對 Graph API 的每項要求。對 Azure AD 的權杖端點提出要求並提供有效認證,即可取得此權杖。您可以使用 OAuth 2.0 用戶端認證流程或授權碼授與流程,取得權杖來呼叫 Graph。如需詳細資訊,請參閱Azure AD 的驗證案例Azure AD 中的 OAuth 2.0

  • 以角色為基礎的授權 (RBAC):安全性群組用於在 Graph API 中執行 RBAC。例如,如果您要判斷使用者是否能存取特定資源,應用程式可以呼叫 檢查群組成員資格 (可移轉) 作業,該作業會傳回 truefalse。如需有關 Azure AD 中 RBAC 的詳細資訊,請參閱 以 Azure Active Directory 授權

  • 差異查詢:如果您要檢查在兩個期間之間目錄中的變更,而不必對 Graph API 進行頻繁查詢,可以提出差異查詢要求。此要求類型只會傳回在先前差異查詢要求與目前要求之間進行的變更。如需詳細資訊,請參閱Azure AD Graph API 差異查詢

  • 目錄延伸模組:如果您正在開發需要讀取或寫入目錄物件之獨特屬性的應用程式,可以使用 Graph API 登錄和使用延伸模組值。例如,如果您的應用程式需要每個使用者的 Skype ID 屬性,您可以在目錄中登錄新屬性,而該屬性將可用於每個使用者物件。如需詳細資訊,請參閱Azure AD Graph API 目錄結構描述延伸模組

Graph API 可提供許多應用程式案例。下列案例是最常見的案例:

  • 企業營運 (單一租用戶) 應用程式:在此案例中,企業開發人員任職於具有 Office 365 訂閱的組織。此開發人員正在建置一個可與 Azure AD 互動的 Web 應用程式,以執行將授權指派給使用者之類的工作。這項工作必須存取 Graph API,所以開發人員會在 Azure AD 中登錄單一租用戶應用程式,以及設定 Graph API 的讀取和寫入權限。然後應用程式會設定為使用其本身的認證或目前登入之使用者的認證來取得權杖,進而呼叫 Graph API。

  • 軟體即服務應用程式 (多租用戶):在此案例中,獨立軟體廠商 (ISV) 開發一個託管的多租用戶 Web 應用程式,可為使用 Azure AD 的其他組織提供使用者管理功能。這些功能都需要目錄物件的存取權,所以應用程式必須呼叫 Graph API。開發人員在 Azure AD 中註冊此應用程式、將它設定為需要 Graph API 的讀取和寫入權限,然後啟用外部存取,以便其他組織可同意在其目錄中使用此應用程式。當另一個組織中的使用者第一次向應用程式驗證時,他們會看到同意對話方塊中指出應用程式所要求的權限。如果表示同意,則會授與這些要求的權限給應用程式來存取使用者目錄中的 Graph API。如需同意架構的詳細資訊,請參閱<Overview of the Consent Framework>。

另請參閱

本文對您有任何幫助嗎?
(剩餘 1500 個字元)
感謝您提供意見
顯示:
© 2014 Microsoft