Экспорт (0) Печать
Развернуть все

Azure AD Graph API

Обновлено: Октябрь 2014 г.

Azure Active Directory Graph API обеспечивает программный доступ к Azure AD через конечные точки API-интерфейса REST. Приложения могут использовать Graph API для выполнений операций создания, чтения, обновления и удаления (CRUD) с данными и объектами каталогов. Например, Graph API поддерживает следующие операции с объектом пользователя:

  • Создание пользователя в каталоге

  • Получение подробных сведений о пользователях, например группах пользователя

  • Обновление свойств пользователя, например расположения и номера телефона, или изменение пароля

  • Проверка членства пользователя в группе для доступа на основе ролей

  • Отключение или полное удаление учетной записи пользователя

В дополнение к объектам пользователей вы можете выполнять аналогичные операции с другими объектами, такими как группы и приложения. Для вызова API Graph в каталоге приложение должно быть зарегистрировано в Azure AD, и в нем должно быть настроено право доступа к каталогу. Обычно это достигается с помощью потока согласия пользователя или администратора. Дополнительные сведения см. в подразделе Accessing the Graph API раздела Добавление, обновление и удаление приложения.

Graph API предоставляет следующие возможности:

  • Конечные точки API REST. Graph API — эта служба, поддерживающая протокол REST, которая состоит из конечных точек, доступных с помощью стандартных HTTP-запросов. Graph API поддерживает типы контента XML и JSON для запросов и ответов. Дополнительные сведения см. в Справочник по Azure AD Graph REST API.

  • Проверка подлинности с помощью Azure AD. Каждый запрос Graph API должен пройти проверку подлинности, добавив веб-токен JSON (JWT) в заголовок Authorization запроса. Для получения этого токена отправляется запрос к конечной точке токена Azure AD и допустимыми учетными данными. Вы можете использовать поток клиентских учетных данных OAuth 2.0 или поток разрешений кода авторизации, чтобы получить токен для вызова Graph. Дополнительные сведения см. в разделах Сценарии проверки подлинности в Azure AD и OAuth 2.0 в Azure AD.

  • Ролевая авторизация (RBAC). Для реализации RBAC в Graph API используются группы безопасности. Например, чтобы определить, есть ли у пользователя доступ к определенному ресурсу, приложение может вызвать операцию Проверка членства в группе (транзитивно), которая возвращает значение true или false. Дополнительные сведения о ролевой авторизации в Azure AD см. в разделе Авторизация с помощью Azure Active Directory.

  • Дифференциальный запрос. Чтобы проверить изменения в каталоге между двумя периодами без частых запросов к Graph API, можно отправить дифференциальный запрос. Такой тип запроса возвращает только изменения, сделанные с момента предыдущего дифференциального запроса до текущего запроса. Дополнительные сведения см. в Разностный запрос Azure AD Graph API.

  • Расширения каталогов. Если вы разрабатываете приложение, которому требуется читать или записывать уникальные свойства для объектов каталогов, вы можете зарегистрировать и использовать значения расширений с помощью Graph API. Например, если приложению требуется идентификатор Skype для каждого пользователя, вы можете зарегистрировать новое свойство в каталоге, которое будет доступно для каждого объекта пользователя. Дополнительные сведения см. в Расширения интерфейсов API схемы каталогов Azure AD Graph.

Graph API позволяет реализовать множество различных сценариев. Далее перечислены наиболее распространенные из них:

  • Бизнес-приложение (однотенантное). В этом сценарии разработчик работает в организации с подпиской на Office 365. Разработчик создает веб-приложение, которое взаимодействует с Azure AD для выполнения задач, таких как назначение лицензии пользователю. Для этой задачи требуется доступ к Graph API, поэтому разработчик регистрирует однотенантное приложение в Azure AD и настраивает разрешения чтения и записи для Graph API. Затем приложение настраивается для использования собственных учетных данных или учетных данных, вошедшего в систему пользователя, для получения токена и вызова Graph API.

  • Приложение "ПО как услуга" (мультитенантное). В этом сценарии независимый поставщик ПО (ISV) создает мультитенантное приложение, предоставляющее функции управления пользователями другим организациям, которые используют Azure AD. Для этих функций требуется доступ к объектам каталога, поэтому приложению необходимо вызывать Graph API. Разработчик регистрирует приложение в Azure AD, настраивает его для требования разрешений на чтение и запись в API Graph, а затем включает внешний доступ, чтобы другая организация могла согласиться на использование этого приложения в своем каталоге. Когда пользователь в другой организации впервые проходит проверку подлинности в приложении, для него отображается диалоговое окно согласия с разрешениями, которые запрашивает приложение. Предоставление согласия даст приложению эти запрошенные разрешения для API Graph в каталоге пользователя. Дополнительные сведения об инфраструктуре согласия см. в разделе Overview of the Consent Framework.

См. также

Показ:
© 2015 Microsoft