Различия в проверке подлинности между веб-службами Exchange (EWS) и Microsoft Graph

Веб-службы Exchange (EWS) и Microsoft Graph используют платформа удостоверений Майкрософт OAuth 2.0 для проверки подлинности и авторизации.

Примечание.

В настоящее время EWS также поддерживает обычную проверку подлинности. Обычная проверка подлинности устарела и отключается в организациях Microsoft 365. Microsoft Graph не поддерживает обычную проверку подлинности, поэтому приложения, которые еще не перешли на OAuth 2.0, должны сделать это для доступа к Microsoft Graph.

Разрешения

EWS и Microsoft Graph предлагают два типа разрешений: делегированные и приложения. Делегированные разрешения находятся в контексте пользователя, прошедшего проверку подлинности. Разрешения приложения предоставляются приложению, которое не действует от имени пользователя.

С помощью EWS приложение имеет доступ ко всему, к которому пользователь имеет доступ (с делегированными разрешениями) или ко всему, к которому EWS может получить доступ (с разрешениями приложения).

EWS имеет модель доступа "все" или "ничего", и нет детализированной области для ограничения доступа к данным в почтовом ящике. В то время как Microsoft Graph предоставляет детализированные разрешения для определенных функций в почтовом ящике Exchange Online. Например, можно разрешить приложению только чтение почтовых сообщений и не иметь доступа к календарям или контактам. Действующие разрешения для делегированной проверки подлинности — это пересечение привилегий пользователя и разрешений, которые были предоставлены для приложения. Для проверки подлинности приложения действующие разрешения — это набор разрешений, предоставленных администратором.

Полный список разрешений Microsoft Graph, связанных с Exchange, см. в следующих разделах:

  • Разрешения почты
  • Разрешения календаря
  • Разрешения личных контактов
  • Разрешения для задач

Олицетворение

Олицетворение EWS предоставляет механизм, позволяющий приложениям EWS, работающим как учетная запись службы, действовать в качестве пользователя. Это позволяет приложению выполнять действия, такие как отправка сообщения электронной почты, которые, как представляется, приходят от олицетворенного пользователя.

В Microsoft Graph учетные записи служб отсутствуют. Вместо этого разрешения предоставляются приложениям напрямую. Приложение выполняет проверку подлинности с помощью потока учетных данных клиента с собственным удостоверением. По умолчанию согласие администратора предоставляет доступ к почтовым ящикам всех пользователей, но администратор может ограничить приложения определенными почтовыми ящиками . Способ достижения олицетворения в Microsoft Graph — использование политики доступа к приложениям и разрешений приложений.