Obory oprávnění | Rozhraní Graph API koncepty
Platí pro: Graph API | Azure Active Directory (AD)
Rozhraní Graph API zpřístupní obory oprávnění OAuth 2.0, které se používají k řízení přístupu, který má aplikace dat adresáře zákazníka. Jako vývojář konfigurace aplikace s obory oprávnění pro přístup, který vyžaduje. Obvykle to uděláte prostřednictvím portálu Azure. Při přihlašování uživatelé nebo správci mají možnost povolit přístup k vaší aplikaci jejich dat adresáře s obory oprávnění, které jste nakonfigurovali svůj souhlas. Z tohoto důvodu byste měli zvolit obory oprávnění, které poskytují nejmenší úroveň oprávnění vyžadované vaší aplikace. Další podrobnosti o tom, jak nakonfigurovat oprávnění pro vaši aplikaci a na proces souhlasu najdete v tématu integrace aplikací s Azure Active Directory.
Důležité
Důrazně doporučujeme použít Microsoft Graph místo Azure AD Graph API pro přístup k prostředkům Azure Active Directory. Náš vývojový program jsou nyní soustředit na Microsoft Graph a dále jsou plánované pro Azure AD Graph API. Je velmi omezený počet scénářů, pro které Azure AD Graph API může být vhodné; Další informace najdete v tématu Microsoft Graph nebo Azure AD Graph příspěvku na blogu v Office Dev Center.
Koncepty obor oprávnění
Oproti delegované obory jen aplikace
Obory oprávnění může být buď pouze aplikace, nebo delegovaný. Jenom aplikace obory (také známé jako aplikace role) udělit aplikaci kompletní sadu oprávnění, které nabízí podle oboru. Jenom aplikace obory jsou obvykle používány aplikace, které běží jako služba bez přihlášeného uživatele existuje. Delegovaná oprávnění obory jsou pro aplikace, které se uživatel přihlásí k. Tyto obory delegovat oprávnění přihlášeného uživatele k aplikaci a umožňuje aplikaci tak, aby fungoval jako přihlášeného uživatele. Skutečná oprávnění udělených aplikaci bude nejnižšími oprávněními kombinace (průnik) oprávnění uděleno podle oboru a těch, které má k dispozici pomocí přihlášeného uživatele. Například pokud obor oprávnění uděluje delegovaná oprávnění k zápisu všech objektů adresáře, ale přihlášený uživatel má oprávnění jenom se aktualizovat vlastní profil uživatele, aplikace budou moci pouze zápisu profilu přihlášeného uživatele, ale žádné jiné objekty.
Úplné a základní profily pro uživatele a skupiny
Úplné profilu (nebo profilu) z uživatele nebo skupiny obsahuje všechny entity deklarované vlastnosti. Protože profilu může obsahovat informací v adresáři citlivé nebo identifikovatelné osobní údaje (PII), několik oborů omezit přístup k aplikaci pro omezenou sadu vlastností známé jako základní profil. Pro uživatele, základní profil obsahuje pouze následující vlastnosti: zobrazit jméno, křestní jméno a příjmení, fotografie a e-mailovou adresu. Základní profil pro skupiny, obsahuje pouze zobrazovaný název.
Podrobnosti obor oprávnění
Následující tabulka uvádí obory oprávnění rozhraní Graph API a vysvětluje udělení přístupu podle jednotlivých.
- Oboru sloupec uvádí název oboru. Obor názvů trvat resource.operation.constraint formuláře; například Group.ReadWrite.All. Pokud je omezení "Vše", oboru umožňuje aplikaci k provedení operace (ReadWrite) na všechny zadané zdroje (skupiny) v adresáři; obor, jinak hodnota povoluje pouze operace v profilu přihlášeného uživatele. Rozsahy, které může udělení omezenými oprávněními pro zadanou operaci, najdete v článku popis sloupec podrobnosti.
- Oprávnění sloupci se zobrazuje jak oboru se zobrazí na portálu Azure.
- Popis sloupec popisuje úplnou sadu oprávnění udělují oboru. Pro delegovanou obory se skutečné přístup k udělených aplikaci nejnižšími oprávněními kombinace (průnik) udělení přístupu podle oboru a oprávnění přihlášeného uživatele.
| Obor | Oprávnění | Popis | Typ oboru | Vyžaduje souhlas správce |
|---|---|---|---|---|
| User.Read | Povolit přihlášení a čtení profilu uživatele | Umožňuje uživatelům přihlášení do aplikace a umožňuje aplikaci číst úplnou profilu přihlášeného uživatele. Úplné profil obsahuje všechny deklarované vlastnosti uživatele entity. User.Read umožňuje aplikaci číst následující informace o základní společnosti přihlášeného uživatele (prostřednictvím TenantDetail objektu): ID klienta, zobrazovaný název klienta a ověřené domény. Aplikaci nelze číst vlastnosti navigace, například správce nebo přímé podřízené. Aplikaci nelze načíst heslo uživatele. | Delegovaná | Ne |
| User.ReadBasic.All | Přečtěte si základní profily všech uživatelů | Umožňuje aplikaci číst základní profil všem uživatelům v organizaci jménem přihlášeného uživatele. Následující vlastnosti tvoří základní profil uživatele: zobrazit jméno, křestní jméno a příjmení, fotografie a e-mailovou adresu. Číst skupiny, kterých je uživatel členem, bude aplikace také vyžadovat Group.Read.All nebo Group.ReadWrite.All. | Delegovaná | Ne |
| User.Read.All | Přečtěte si úplných profilů všech uživatelů | Stejné jako User.ReadBasic.All, s tím rozdílem, že IT oddělení umožňuje aplikaci číst úplnou profil všem uživatelům v organizaci a při čtení navigační vlastnosti jako správce a přímé podřízené. Úplné profil obsahuje všechny deklarované vlastnosti uživatele entity. Číst skupiny, kterých je uživatel členem, bude aplikace také vyžadovat Group.Read.All nebo Group.ReadWrite.All. Aplikaci nelze číst hesla uživatelů. | Delegovaná | Ano |
| Group.Read.All | Číst všechny skupiny (preview) | Umožňuje aplikaci číst základní profil všech skupin v organizaci jménem přihlášeného uživatele. Aplikace také můžete přečíst základní profil skupin, které je členem skupiny. Základní profil pro skupinu obsahuje pouze zobrazovaný název skupiny. Číst informace o profilu členů skupiny, bude aplikace také vyžadovat User.ReadBasic nebo User.Read.All. | Delegovaná | Ano |
| Group.ReadWrite.All | Čtení a zápis všech skupin (preview) | Umožňuje aplikaci číst úplnou profil všech skupin v organizaci, také, vytvářet a aktualizovat skupiny jménem přihlášeného uživatele. Aplikace také můžete přečíst úplné profil skupin, které je členem skupiny. Úplné profil obsahuje všechny deklarované vlastnosti skupiny entity. Profily načtení nebo aktualizace členové skupiny, bude aplikace také vyžadovat User.ReadBasic nebo User.Read.All. | Delegovaná | Ano |
| Device.ReadWrite.All | Čtení a zápis všechna zařízení | Umožňuje aplikaci číst a Zapisovat vlastnosti všech zařízení bez přihlášeného uživatele. Neumožňuje vytváření zařízení, odstraňovat zařízení ani aktualizovat alternativní bezpečnostní identifikátorů zařízení. | jenom aplikace | Ano |
| Directory.Read.All | Čtení dat z adresáře | Umožňuje aplikaci číst všechna data v adresáři organizace, jako jsou uživatelé, skupiny a aplikace a jejich přidružené navigační vlastnosti. Poznámka:: uživatelé mohou souhlasit s aplikací, které vyžadují toto oprávnění, pokud aplikace je registrován v klientovi své organizace. | jenom aplikace, delegovaný | Ano |
| Directory.ReadWrite.All | Čtení a zápis dat adresáře | Umožňuje aplikaci číst všechna data v adresáři organizace. Umožňuje aplikaci vytvářet a aktualizovat uživatele a skupiny a aktualizaci jejich navigační vlastnosti, ale zakáže odstranění uživatele nebo skupinu. Rovněž umožňuje aplikaci můžete definovat rozšíření schématu aplikací. Podrobný seznam oprávnění najdete v tématu Directory.ReadWrite.All oprávnění podrobností níže. | jenom aplikace, delegovaný | Ano |
| Directory.AccessAsUser.All | Přístup k adresáři jménem přihlášeného uživatele | Umožňuje aplikaci stejný přístup k datům v adresáři organizace, jako přihlášeného uživatele. Poznámka:: nativní klientská aplikace může mít uživatele, ale souhlas toto oprávnění, webové aplikace vyžaduje souhlas správce. | Delegovaná | Ano |
Poznámka:: ve výchozím nastavení, když vytvoříte aplikaci pomocí portálu Azure, Azure AD přiřadí ji na rozsah User.Read delegovaná oprávnění.
Podrobnosti o Directory.ReadWrite.All oprávnění
Obor oprávnění Directory.ReadWrite.All uděluje následující oprávnění:
- Úplnému čtení všech objektů adresáře (deklarované vlastnosti a vlastnosti navigace)
- Vytvářet a aktualizovat uživatele
- Zakázání a povolení uživatelé (ale ne správce společnosti)
- Nastavit alternativní bezpečnostní id uživatele (ale ne správci)
- Vytvořit a aktualizovat skupiny
- Správa členství ve skupinách
- Vlastník skupiny aktualizací
- Spravovat přiřazení licencí
- Definujte rozšíření schématu aplikace
- Umožňuje nastavit při vytváření uživatele heslo.
- Poznámka:: žádná práva k resetování uživatelských hesel
- Poznámka:: žádná práva ke čtení uživatelská hesla
- Poznámka:: žádná práva k odstranění entity (včetně uživatelů nebo skupin)
- Poznámka:: konkrétně vyloučí vytvořit nebo aktualizovat pro entity, které nejsou uvedené výše. To zahrnuje: aplikace, Oauth2PermissionGrant, AppRoleAssignment, zařízení, ServicePrincipal, TenantDetail, domén, atd.
Scénáře obor oprávnění
V následující tabulce jsou uvedeny obory oprávnění, které jsou potřebné pro aplikaci, abyste mohli provádět určité operace. Všimněte si, že v některých případech umožňuje aplikace provádět některé operace bude záviset na, zda oprávnění rozsah je pouze aplikace nebo delegovaný a v případě delegovaná oprávnění obory na oprávnění přihlášeného uživatele.
| Scénář | Přístup požadovaný | Obor oprávnění potřeby |
|---|---|---|
| Přihlásit a zobrazí dlaždice s názvem a miniaturu fotografie uživatele. | Čtení úplné profilu přihlášeného uživatele. Přečtěte si základní informace o firmě. |
User.Read |
| Výběr základní osoby. | Přečtěte si základní profil všem uživatelům jménem přihlášeného uživatele. | User.ReadBasic.All |
| Výběr osob s úplnou profilu. | Stejné jako vyšší ale přístup k úplné profilu uživatelů jménem přihlášeného uživatele. | User.Read.All |
| Navigátor org grafu. | Číst úplnou profil všem uživatelům, jejich správci a přímé podřízené jménem přihlášeného uživatele. | User.Read.All |
| Výběr osob, který zahrnuje skupiny pro řízení přístupu k aplikaci. Členství ve skupině a prohlížeč. |
Přečtěte si základní profil všech skupin a uživatelů jménem přihlášeného uživatele. Přečtěte si základní uživatelské profily pro správce a přímé podřízené uživatelů. Přečtěte si základní profil členství ve skupinách uživatelů. Přečtěte si základní profil se skupin členství ve skupinách. Přečtěte si základní profil členů skupiny. |
User.ReadBasic.All a Group.Read.All |
| Zobrazit profil přihlášeného uživatele a správce uživatele, přímých podřízených a členství ve skupinách. | Použití me operací čtení: Úplné profil přihlášeného uživatele. Úplné profil správce a přímé podřízené přihlášeného uživatele. Základní profil skupin, které je přihlášený uživatel členem. Poznámka:: kombinace dva obory uděluje větší přístup, než jsou tady uvedené pro me operace. |
User.Read.All a Group.Read.All |
| Služba správy skupiny, který umožňuje uživatelům vytvářet a spravovat skupiny. | Čtení úplné profilu všech skupin a uživatelů jménem přihlášeného uživatele. Přečtěte si úplných profilů pro správce a přímé podřízené uživatelů. Přečtěte si úplné profil členství ve skupinách uživatelů. Přečtěte si úplné profil skupiny se členství ve skupinách. Čtení úplné profilu členů skupin. Vytvářet a aktualizovat skupiny a jejich vlastnosti navigace (členy). |
User.Read.All a Group.ReadWrite.All |
| Číst všechny objekty adresáře (včetně navigační vlastnosti). | Directory.Read.All | |
| Číst všechny objekty adresáře (včetně navigační vlastnosti). Vytvářet a aktualizovat objekty uživatelů a skupin. Odstranění žádné uživatele nebo skupinu. Poznámka:: Ne všechny udělena oprávnění jsou zde uvedeny. |
Directory.ReadWrite.All | |
| Fungují jako přihlášeného uživatele. | Čtení a zápis objektů adresáře (včetně navigační vlastnosti) jménem přihlášeného uživatele. | Directory.AccessAsUser.All |
Výchozí úroveň přístupu pro správce, uživatele a uživatele typu Host
Následující tabulka uvádí výchozí úroveň přístupu (globální) správci, uživatelů a uživatele typu Host v adresáři. Výchozí úroveň přístupu může být další nastavení konfigurace na základě rozšířená nebo s omezeným přístupem pro adresář nebo členství uživatele ve jednu nebo více rolí adresáře. Podrobné informace o konfiguraci přístupu uživatelů a uživatele typu Host dat adresáře, najdete v části vytvoření nebo úprava uživatelů ve službě Azure AD. Další informace o přístupu spojené s různými rolemi directory najdete v tématu přiřazení rolí správce ve službě Azure AD.
| Typ uživatele | Přístup |
|---|---|
| Globální správce | Číst všechny objekty adresáře. Vytvářet, aktualizovat a odstraňovat všechny objekty adresáře |
| Uživatel | Číst všechny objekty adresáře. Vytváření aplikací a objekty přidružené služby. Aktualizujte svůj profil. Aktualizace skupiny, které vlastní (a vlastnost členy). Aktualizace aplikací a objekty služby, které vlastní. Odstranění aplikací a objekty služby, které vlastní. |
| Uživatele Guest | Přečtěte si jejich úplné profilu. Přečtěte si základní profily všichni ostatní uživatelé Přečtěte si základní profil všech skupin. Přečtěte si aplikace. Aktualizujte některé vlastnosti svůj profil. Žádné hledání uživatele nebo skupiny (viz uživatele a skupiny vyhledávání omezení pro uživatele typu Host níže). |
Uživatele a skupiny vyhledávání omezení pro uživatele typu Host
Uživatele a skupiny možnosti vyhledávání povolit vyhledávání pro všechny uživatele nebo skupinu v adresáři zákazníka provedením dotazy pro aplikaci uživatelé nebo skupiny sadu prostředků (například https://graph.windows.net/myorganization/users?api-version=1.6). Správci a uživatelé mají tuto možnost. Uživatele typu Host nepodporují. Pokud je uživatel přihlášený uživatel guest, v závislosti na oboru oprávnění aplikace může číst profil konkrétního uživatele nebo skupiny pomocí objektu uživatele nebo ID hlavní název (UPN) pro uživatele nebo ID objektu pro skupinu (například) , https://graph.windows.net/myorganization/users/241f22af-f634-44c0-9a15-c8cd2cea5531?api-version=1.6); ale nemůže provádět dotazy proti uživatelé nebo skupiny sadu prostředků, která potenciálně žádosti o více než jedna entita. V závislosti na rozsahu oprávnění, například aplikace může číst profily uživatelů nebo skupin, které se získává pomocí následujících odkazů v navigační vlastnosti, ale ji nelze vydat dotaz vrátit všechny uživatele nebo skupiny v adresáři.