VENDAS: 1-800-867-1389

API Gráfica do Azure AD

Atualizado: maio de 2015

A API do Graph do Active Directory do Azure fornece acesso programático ao Azure AD por meio dos pontos de extremidade da API do REST. Os aplicativos podem usar a API do Graph para realizar operações de criação, leitura, atualização e exclusão (CRUD) nos dados e objetos do diretório. Por exemplo, a API do Graph oferece suporte às seguintes operações comuns para um objeto de usuário:

  • Criar um novo usuário em um diretório

  • Obter propriedades detalhadas de um usuário, como seus grupos

  • Atualizar as propriedades de um usuário, como sua localização e número de telefone, ou alterar sua senha

  • Verificar a associação de um usuário a um grupo em relação ao acesso baseado em função

  • Desabilitar a conta de um usuário ou excluí-la por completo

Além dos objetos do usuário, você pode realizar operações semelhantes em outros objetos, como grupos e aplicativos. Para chamar a Graph API em um diretório, o aplicativo deve estar registrado no AD do Azure e ser configurado para acessar o diretório. Normalmente, isso é obtido por meio de um fluxo de consentimento do usuário ou administrador. Para obter mais informações, consulte Accessing the Graph API no tópico Adicionar, atualizar e remover um aplicativo.

A API do Graph fornece os seguintes recursos:

  • Pontos de extremidade da API do REST: A API do Graph é um serviço RESTful constituído de pontos de extremidade acessados por meio das solicitações HTTP padrão. A API do Graph suporta os tipos de conteúdo XML ou Javascript Object Notation (JSON) para solicitações e respostas. Para obter mais informações, consulte Referência da API REST do Gráfico do AD do Azure.

  • Autenticação com o Azure AD: Toda solicitação à API do Graph deve ser autenticada anexando-se um JSON Web Token (JWT) no cabeçalho Authorization da solicitação. Para adquirir esse token, é preciso fazer uma solicitação ao ponto de extremidade do Azure AD e fornecer credenciais válidas. Você pode usar o fluxo de credenciais do cliente OAuth 2.0 ou o fluxo de concessão de códigos de autorização para adquirir um token para chamar a Graph. Para obter mais informações, consulte Authentication Scenarios for Azure AD e OAuth 2.0 in Azure AD.

  • Autorização Baseada em Função (RBAC): Grupos de segurança são usados para executar o RBAC na API do Graph. Por exemplo, se você quiser verificar se um usuário tem acesso a um recurso específico, o aplicativo pode chamar a operação Verificar associação de grupo (transitiva), que retorna true ou false. Para obter mais informações sobre o RBAC no Azure AD, consulte Authorization with Azure Active Directory.

  • Consulta Diferencial: Se quiser verificar alterações em um diretório entre dois períodos de tempo sem ter que fazer consultas frequentes à API do Graph, você pode fazer uma solicitação de consulta diferencial. Esse tipo de solicitação retornará somente as alterações feitas entre a solicitação de consulta diferencial anterior e a atual. Para obter mais informações, consulte Consultas diferenciais da Graph API do AD do Azure.

  • Extensões de Diretório: Se você estiver desenvolvendo um aplicativo que precise ler ou gravar propriedades exclusivas para objetos de diretório, poderá registrar e usar valores de extensão usando a API do Graph. Por exemplo, se o seu aplicativo exigir uma propriedade Skype ID para cada usuário, você poderá registrar a nova propriedade no diretório e ela estará disponível em cada objeto de usuário. Para obter mais informações, consulte Extensões de esquema do diretório da Graph API do AD do Azure.

A API do Graph habilita muitos cenários de aplicativo. Os seguintes cenários são os mais comuns:

  • Aplicativo de Linha de Negócios (Locatário Único): Nesse cenário, um desenvolvedor empresarial trabalha para uma organização que tem uma assinatura do Office 365. O desenvolvedor está criando um aplicativo Web que interage com o Azure AD para realizar tarefas como a atribuição de uma licença a um usuário. Essa tarefa exige acesso à API do Graph, portanto, o desenvolvedor registra o aplicativo de locatário único no Azure AD e configura permissões de leitura e gravação para a API do Graph. Em seguida, o aplicativo é configurado para usar suas próprias credenciais ou aquelas do usuário conectado no momento para adquirir um token e chamar a API do Graph.

  • Aplicativo SaaS (Multilocatário): Nesse cenário, um fornecedor de software independente (ISV) está desenvolvendo um aplicativo da Web para vários locatários que fornece recursos de gerenciamento de usuário para outras organizações que usam o AD do Azure. Esses recursos exigem acesso a objetos do diretório e, portanto, o aplicativo precisa chamar a API do Graph. O desenvolvedor registra o aplicativo no AD do Azure, configura-o para exigir permissões de leitura e gravação para a Graph API e, em seguida, habilita o acesso externo para que outras organizações possam consentir o uso do aplicativo em seu diretório. Quando um usuário em outra organização autentica o aplicativo pela primeira vez, eles apresentam uma caixa de diálogo de consentimento com as permissões que o aplicativo está solicitando. Conceder consentimento então oferecerá ao aplicativo essas permissões solicitadas para a Graph API no diretório do usuário. Para obter mais informações sobre a estrutura de consentimento, consulte Overview of the Consent Framework.

Consulte também

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2015 Microsoft