Diferencias de autenticación entre Exchange Web Services (EWS) y Microsoft Graph
Exchange Web Services (EWS) y Microsoft Graph usan Plataforma de identidad de Microsoft OAuth 2.0 para la autenticación y autorización.
Nota:
Actualmente, EWS también admite la autenticación básica. La autenticación básica está en desuso y se está desactivando en todas las organizaciones de Microsoft 365. Microsoft Graph no admite la autenticación básica, por lo que las aplicaciones que aún no se han migrado a OAuth 2.0 deben hacerlo para acceder a Microsoft Graph.
Permissions
EWS y Microsoft Graph ofrecen dos tipos de permisos: delegado y aplicación. Los permisos delegados se encuentran en el contexto de un usuario autenticado. Los permisos de aplicación se conceden a una aplicación que no actúa en nombre de un usuario.
Con EWS, una aplicación tiene acceso a todo a lo que el usuario tiene acceso (con permisos delegados) o a todo a lo que EWS puede acceder (con permisos de aplicación).
EWS tiene todo o ningún modelo de acceso y no hay ningún ámbito pormenorizada para limitar el acceso a los datos en un buzón. Mientras que Microsoft Graph ofrece permisos pormenorizados a características específicas dentro de un buzón de Exchange Online. Por ejemplo, es posible permitir que una aplicación solo lea mensajes de correo y no tenga acceso a calendarios ni contactos. Los permisos efectivos para la autenticación delegada son la intersección de los privilegios del usuario y los permisos que se han consentido para la aplicación. Para la autenticación de aplicaciones, los permisos efectivos son el conjunto de permisos con consentimiento de un administrador.
Para obtener una lista completa de permisos de Microsoft Graph relacionados con Exchange, consulte:
- Permisos de correo
- Permisos de calendario
- Permisos de contactos personales
- Permisos de tareas
Suplantación
La suplantación de EWS proporciona un mecanismo para que las aplicaciones de EWS que se ejecutan como una cuenta de servicio actúen como usuario. Esto permite a la aplicación realizar acciones, como enviar un correo electrónico, que parecen provenir del usuario suplantado.
Con Microsoft Graph, no hay cuentas de servicio. En su lugar, se conceden permisos a las aplicaciones directamente. La aplicación se autentica mediante el flujo de credenciales de cliente con su propia identidad. De forma predeterminada, el consentimiento del administrador concede acceso a los buzones de todos los usuarios, pero un administrador puede limitar las aplicaciones a buzones específicos . La manera de lograr la suplantación en Microsoft Graph es usar la directiva de acceso a aplicaciones y los permisos de la aplicación.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de