Entités, modèles de ressources et jetons Azure AD

Pour utiliser l’API CREST, vous devez comprendre ce qui suit :

Entités Windows Azure Active Directory

Examinons dans un premier temps la structure des entités Azure AD dans les scénarios d’API CREST, dans la mesure où les jetons représentent votre droit d’accès aux ressources détenues par les entités Azure AD.

Entités Azure AD

XYZ représente la société du revendeur :

  • aa@xyz : un utilisateur du groupe des agents d’administration dans XYZ.
  • groupe des agents d’administration : dans le locataire du revendeur, un membre de ce groupe est autorisé à gérer les services achetés dans Contoso.
    • Le groupe des agents d’administration de XYZ est lié au groupe de sécurité de Contoso lorsque le revendeur crée un client en appelant l’API /customers/create-reseller-customer. Le préfixe de domaine, le nom d’utilisateur et le mot de passe sont transmis pour créer un ensemble d’informations d’identification, que le revendeur utilise pour se connecter au portail Office afin de gérer les services. Pour plus d’informations, consultez la rubrique Ressource Clients.
  • sa@xyz : un utilisateur du groupe des commerciaux dans XYZ.
  • groupe des commerciaux : dans le locataire du revendeur, un membre de ce groupe est autorisé à acheter des abonnements pour Contoso.

Contoso représente le client du revendeur, qui souhaite acheter des produits Microsoft à la société du revendeur :

  • Groupe de sécurité XYZ : représente le revendeur dans le locataire Contoso et fait référence au groupe des agents d’administration du revendeur. Nous partons du principe que le revendeur est externe au client, et la terminologie apparaît dans la propriété d’identité de l’API de clients.

Pour plus d’informations sur Azure AD, consultez la documentation sur Azure AD et la rubrique Prise en main d'Azure AD.

Clients

Les clients sont propriétaires des ressources sur lesquelles l’ensemble des opérations sont exécutées. Dans l’API CREST, les clients sont associés à une entité Azure AD. Pour plus d’informations, consultez la rubrique Entités Azure AD.

La ressource Clients s’applique au revendeur et au client.

  • Reseller

    La ressource Clients représente le revendeur. Les ressources détenues par un revendeur sont regroupées sous la ressource Clients. Pour un revendeur, la seule information utile de cette ressource est l’ID de ressource Clients ou l’ID client (cid). Consultez la rubrique Imbrication pour en savoir plus sur l’importance de l’ID de ressource Clients.

    Remarque  

    Un revendeur est une organisation qui revend les services Microsoft Online via un partenaire CSP de niveau 2. Toutefois, le terme « revendeur » utilisé dans la documentation de l’API CSP fait référence au « partenaire », à l’exception de l’attribution des certificats MPN de niveau 2 dans les propriétés de commande et d’abonnement.

    Dans CSP, dans la mesure où Microsoft n’entretient aucune relation directe avec les revendeurs de niveau 2 au niveau technique (ils n’appellent pas l’API CREST), le terme « reseller » de « cid-for-reseller » dans la documentation de l’API CREST signifie « partenaire ».

     
  • Customer

    La ressource Clients représente également le groupe de sécurité du revendeur dans le locataire du client d’Azure AD. Pour les besoins de cette rubrique, la ressource Clients représentant le client du revendeur est identique à la ressource représentant le groupe de sécurité du revendeur dans le locataire du client. Pour plus d’informations, consultez les rubriques Ressource Clients et Imbrication.

  • Ownership

    • Les ressources de commandes et d’abonnements appartiennent au revendeur et sont hébergées dans la ressource Clients du revendeur.
    • Les données d’utilisation, les ressources de droits d’éligibilité et de profils appartiennent au client et sont hébergées dans le groupe de sécurité du revendeur du locataire du client. Le groupe des agents d’administration du revendeur dispose d’un accès au groupe de sécurité du revendeur du locataire du client.
propriété

Imbrication

L’API CREST utilise l’imbrication pour modéliser les ressources et leurs propriétaires. La nature hiérarchique de l’URI représente une stratégie d’imbrication. Chaque ressource appartient à une ressource Clients. Le modèle de ressource d’API CREST est organisé de la manière suivante.

URI

Requête URIDescription
[OBTENIR/PUBLIER] https://[point de terminaison de l’URL CREST]/{ID client}/[collection de ressources]

Cet URI /{ID client}/ressources peut être compris comme « ressources appartenant au client associé à l’ID client ».

L’ID client (cid) est un ID GUID associé à la ressource des clients, différent de l’ID de locataire Azure AD d’un client. Les deux types d’ID client sont les suivants :

  • cid-for-customer : l’ID client (cid) associé à la ressource Clients du client du revendeur.
  • cid-for-reseller : l’ID client (cid) associé à la ressource Clients du revendeur.

 

Exemples

  • customers

    Dans ce cas, le client appartient au revendeur. En conséquence, l’URI se présente comme suit :

    
    /{cid-for-reseller}/customers
    
    
  • orders

    Dans ce cas, la commande appartient au revendeur (elle représente le contrat entre Microsoft et le revendeur). Par conséquent, l’URI se présente comme suit :

    
    /{cid-for-reseller}/orders
    
    
  • profiles

    Dans ce cas, le profil appartient au client. Par conséquent, l’URI se présente comme suit :

    
    /{cid-for-customer}/profiles
    
    
  • droits d’éligibilité

    Dans ce cas, le droit d’éligibilité appartient au client. Par conséquent, l’URI se présente comme suit :

    
    /{cid-for-customer}/entitlements
    
    
Remarque  À tout moment, si l’URI comporte uniquement un conteneur de clients, il n’est pas nécessaire de spécifier la relation complète du client dans l’URI.
 

Relations entre les ressources

Commande des ressources

Le schéma suivant illustre la relation entre les ressources (principalement en lien avec les processus de commande). Le schéma indique les relations entre les ressources principales. Pour plus d’informations, consultez la référence de l’API.

Le schéma ci-dessous illustre un flux d’achat transmis via l’API.

  1. Une commande est créée par la spécification des postes nécessaires.
  2. Lorsqu’une commande est créée, les ressources d’abonnement et de droit d’éligibilité correspondantes sont créées.
Relation entre les ressources

Jetons, authentification et autorisation

Le jeton est un concept de sécurité qui représente un utilisateur (jeton d’authentification) ou un ensemble de droits (jeton d’autorisation).

Pour accéder aux ressources, deux types de jetons sont utilisés.

Authentication

Un jeton de sécurité Azure AD est délivré par le service des jetons de sécurité, qui se sert d’Azure AD comme d’une banque répartie d’identités d’authentification destinées à identifier le revendeur. Il ne communique aucune information d’identification. Consultez également la rubrique Scénarios d'authentification pour Azure AD.

Authorization

Un jeton de sécurité de commerce, accepté par l’API CREST, active l’autorisation du revendeur à accéder à une ressource et à exécuter des actions dessus. SA_Token et Customer_Token sont des jetons d'autorisation de l’API CREST.

  • SA_Token : représente le droit d’un revendeur à accéder aux ressources qu’il possède et à exécuter des actions dessus. Par exemple, il est utilisé pour accéder à la commande et aux ressources d’abonnement.
  • Customer_Token : représente le droit d’un revendeur à accéder aux ressources d’un client et à exécuter des actions dessus. Par exemple, il est utilisé pour accéder au profil et aux ressources d’éligibilité.

Pour plus d’informations sur la relation entre les jetons et les entités Azure AD, consultez les rubriques Entités Azure AD et Jetons.

 

 

Afficher: