Esta página foi útil?
Seus comentários sobre este conteúdo são importantes. Queremos saber sua opinião.
Comentários adicionais?
1500 caracteres restantes
Exportar (0) Imprimir
Expandir Tudo

API Gráfica do Azure AD

Atualizado: maio de 2015

A API do Graph do Active Directory do Azure fornece acesso programático ao Azure AD por meio dos pontos de extremidade da API do REST. Os aplicativos podem usar a API do Graph para realizar operações de criação, leitura, atualização e exclusão (CRUD) nos dados e objetos do diretório. Por exemplo, a API do Graph oferece suporte às seguintes operações comuns para um objeto de usuário:

  • Criar um novo usuário em um diretório

  • Obter propriedades detalhadas de um usuário, como seus grupos

  • Atualizar as propriedades de um usuário, como sua localização e número de telefone, ou alterar sua senha

  • Verificar a associação de um usuário a um grupo em relação ao acesso baseado em função

  • Desabilitar a conta de um usuário ou excluí-la por completo

Além dos objetos do usuário, você pode realizar operações semelhantes em outros objetos, como grupos e aplicativos. Para chamar a Graph API em um diretório, o aplicativo deve estar registrado no AD do Azure e ser configurado para acessar o diretório. Normalmente, isso é obtido por meio de um fluxo de consentimento do usuário ou administrador. Para obter mais informações, consulte Accessing the Graph API no tópico Adicionar, atualizar e remover um aplicativo.

A API do Graph fornece os seguintes recursos:

  • Pontos de extremidade da API do REST: A API do Graph é um serviço RESTful constituído de pontos de extremidade acessados por meio das solicitações HTTP padrão. A API do Graph suporta os tipos de conteúdo XML ou Javascript Object Notation (JSON) para solicitações e respostas. Para obter mais informações, consulte Referência da API REST do Gráfico do AD do Azure.

  • Autenticação com o Azure AD: Toda solicitação à API do Graph deve ser autenticada anexando-se um JSON Web Token (JWT) no cabeçalho Authorization da solicitação. Para adquirir esse token, é preciso fazer uma solicitação ao ponto de extremidade do Azure AD e fornecer credenciais válidas. Você pode usar o fluxo de credenciais do cliente OAuth 2.0 ou o fluxo de concessão de códigos de autorização para adquirir um token para chamar a Graph. Para obter mais informações, consulte Authentication Scenarios for Azure AD e OAuth 2.0 in Azure AD.

  • Autorização Baseada em Função (RBAC): Grupos de segurança são usados para executar o RBAC na API do Graph. Por exemplo, se você quiser verificar se um usuário tem acesso a um recurso específico, o aplicativo pode chamar a operação Verificar associação de grupo (transitiva), que retorna true ou false. Para obter mais informações sobre o RBAC no Azure AD, consulte Authorization with Azure Active Directory.

  • Consulta Diferencial: Se quiser verificar alterações em um diretório entre dois períodos de tempo sem ter que fazer consultas frequentes à API do Graph, você pode fazer uma solicitação de consulta diferencial. Esse tipo de solicitação retornará somente as alterações feitas entre a solicitação de consulta diferencial anterior e a atual. Para obter mais informações, consulte Consultas diferenciais da Graph API do AD do Azure.

  • Extensões de Diretório: Se você estiver desenvolvendo um aplicativo que precise ler ou gravar propriedades exclusivas para objetos de diretório, poderá registrar e usar valores de extensão usando a API do Graph. Por exemplo, se o seu aplicativo exigir uma propriedade Skype ID para cada usuário, você poderá registrar a nova propriedade no diretório e ela estará disponível em cada objeto de usuário. Para obter mais informações, consulte Extensões de esquema do diretório da Graph API do AD do Azure.

A API do Graph habilita muitos cenários de aplicativo. Os seguintes cenários são os mais comuns:

  • Aplicativo de Linha de Negócios (Locatário Único): Nesse cenário, um desenvolvedor empresarial trabalha para uma organização que tem uma assinatura do Office 365. O desenvolvedor está criando um aplicativo Web que interage com o Azure AD para realizar tarefas como a atribuição de uma licença a um usuário. Essa tarefa exige acesso à API do Graph, portanto, o desenvolvedor registra o aplicativo de locatário único no Azure AD e configura permissões de leitura e gravação para a API do Graph. Em seguida, o aplicativo é configurado para usar suas próprias credenciais ou aquelas do usuário conectado no momento para adquirir um token e chamar a API do Graph.

  • Aplicativo SaaS (Multilocatário): Nesse cenário, um fornecedor de software independente (ISV) está desenvolvendo um aplicativo da Web para vários locatários que fornece recursos de gerenciamento de usuário para outras organizações que usam o AD do Azure. Esses recursos exigem acesso a objetos do diretório e, portanto, o aplicativo precisa chamar a API do Graph. O desenvolvedor registra o aplicativo no AD do Azure, configura-o para exigir permissões de leitura e gravação para a Graph API e, em seguida, habilita o acesso externo para que outras organizações possam consentir o uso do aplicativo em seu diretório. Quando um usuário em outra organização autentica o aplicativo pela primeira vez, eles apresentam uma caixa de diálogo de consentimento com as permissões que o aplicativo está solicitando. Conceder consentimento então oferecerá ao aplicativo essas permissões solicitadas para a Graph API no diretório do usuário. Para obter mais informações sobre a estrutura de consentimento, consulte Overview of the Consent Framework.

Consulte também

Mostrar:
© 2015 Microsoft