Объекты, модели ресурсов и маркеры Azure AD

Чтобы использовать API CREST, необходимо понимать перечисленные ниже понятия.

• Объекты Azure Active Directory (AD)
• Клиенты
• Вложение
• Связи между ресурсами
• Маркеры, проверка подлинности и авторизация

Объекты Azure Active Directory

Давайте сначала изучим структуру объектов Azure AD в сценариях API CREST, поскольку маркеры представляют собой право доступа к ресурсам, которыми владеют эти объекты Azure AD.

XYZ представляет собой компанию торгового посредника:

• aa@xyz: пользователь в группе агентов администратора XYZ.
• группа агента администратора: позволяет кому-либо из этой группы в клиенте торгового посредника управлять службами, приобретенными в домене Contoso.
  • Группа агента администратора в XYZ связывается с группой безопасности в домене Contoso, когда торговый посредник создает клиента с помощью вызова API /клиенты/создать-клиента-торгового-посредника. Префикс_домена, имя_пользователя и пароль передаются, чтобы создать набор учетных данных, которые торговый посредник затем использует для входа на портал Office для управления службами. Подробнее см. в разделе Ресурс клиентов.
• sa@xyz: пользователь в группе агентов по продажам в XYZ.
• группа агента по продажам: позволяет кому-либо из этой группы в клиенте торгового посредника приобретать подписки для домена Contoso.

Домен Contoso представляет собой клиента торгового посредника, который хочет приобрести продукты Майкрософт от компании торгового посредника:

• Группа безопасности XYZ: представляет собой торгового посредника в клиенте Contoso и относится к группе агента администратора торгового посредника. Мы считаем, что торговый представитель является "внешним" по отношению к клиенту, и терминология выступает как свойство идентификаторов в API клиентов.

Подробнее об Azure AD см. в разделах Документация по Azure AD и Начало работы с Azure AD.

Клиенты

У клиентов есть ресурсы, на которых выполняются все операции. В API CREST клиенты связаны с объектом Azure AD. Подробнее см. в разделе Объекты Azure AD.

Ресурс клиентов относится как к торговому посреднику, так и к клиенту.

• Reseller

  Ресурс "Клиенты" представляет собой торгового посредника. Ресурсы, которыми владеет торговый посредник, группируются в ресурсе "Клиенты". Для торгового посредника единственной полезной информацией в этом ресурсе является идентификатор ресурса "Клиенты" или идентификатор клиента (cid). О важности идентификатора ресурса "Клиенты" см. в раздел Вложение.

  Примечание  

  Торговый посредник — это организация, которая перепродает службы Microsoft Online через партнеров 2-го уровня CSP. Однако термин "торговый посредник" в документации по API CSP означает "партнер" за исключением назначения MPN торгового посредника 2-го уровня в подписке и свойствах заказа.

  В CSP, из-за того, что Майкрософт не имеет прямых отношений с торговыми посредниками 2-го уровня на техническом уровне (они не вызывают API CREST), термин "торговый посредник" в свойстве "cid-for-reseller" в документации по API CREST означает "партнер".

   

• Customer

  Ресурс "Клиенты" также представляет группу безопасности торгового посредника в клиенте клиента в Azure AD. В контексте этих разделов ресурс "Клиенты", представляющий клиента торгового посредника, означает то же самое, что и ресурс "Клиенты", представляющий группу безопасности торгового посредника в клиенте клиента. Подробнее см. в разделах Ресурс клиентов и Вложение.

• Ownership

  • Ресурсы "Заказы" и "Подписки" принадлежат торговому посреднику и расположены в ресурсе "Клиенты" торгового посредника.
  • Ресурсы "Данные об использовании", "Права на вознаграждение" и "Профили" принадлежат клиенту и расположены в группе безопасности торгового посредника в клиенте клиента. Группа агента администратора в торговом посреднике имеет доступ к группе безопасности торгового посредника в клиенте клиента.

Вложение

API CREST использует вложение для моделирования ресурсов и их владельцев. Иерархический характер URI представляет собой стратегию вложения. Каждый ресурс принадлежит ресурсу "Клиенты". Модель ресурса API CREST упорядочена указанным ниже способом.

Универсальный код ресурса (URI)

Запрос URI

Описание

[GET/POST] https://[URL-адрес конечной точки CREST]/{Идентификатор клиента}/[коллекция ресурсов]

Этот URI /{идентификатор клиента}/ресурсы можно воспринимать как "ресурсы, принадлежащие клиенту, связанному с идентификатором клиента". Идентификатор клиента (cid) — это идентификатор, отформатированный согласно GUID для ресурса "Клиенты". Он отличается от идентификатора клиента Azure AD клиента. Существует два типа идентификаторов клиента: cid-for-customer: идентификатор клиента (cid) для ресурса "Клиенты" клиента торгового посредника. cid-for-reseller: идентификатор клиента (cid) для ресурса "Клиенты" торгового посредника.

 

Примеры

• customers

  В этом случае клиент принадлежит торговому посреднику и, таким образом, форма URI имеет следующий вид:

  /{cid-for-reseller}/customers
  

• orders

  В этом случае заказ принадлежит торговому посреднику (так как заказ представляет собой контракт между Майкрософт и торговым посредником). Поэтому форма URI выглядит следующим образом:

  /{cid-for-reseller}/orders
  

• profiles

  В этом случае профиль принадлежит клиенту. Поэтому форма URI выглядит следующим образом:

  /{cid-for-customer}/profiles
  

• права на вознаграждение

  В этом случае право на вознаграждение принадлежит клиенту. Поэтому форма URI выглядит следующим образом:

  /{cid-for-customer}/entitlements
  

Примечание  Если в какое-либо время в URI содержится только один контейнер клиента, вам не нужно указывать в URI полные взаимоотношения с клиентами.

 

Связи между ресурсами

Ресурсы оформления заказов

На представленной ниже схеме показана связь между ресурсами (главным образом ресурсами с точки зрения оформления заказов). На схеме представлены связи между главными ресурсами. Подробнее см. в справочнике по API.

• Заказы и строковые_элементы
• Подписки
• Права на вознаграждение (API, в частности, надстройки оформления заказов, требует ссылки на права на вознаграждение.)

На схеме показан ход покупки через API.

1. Заказ создается путем определения необходимых строковых элементов.
2. При создании заказа создаются соответствующие ресурсы "Подписки" и "Права на вознаграждение".

Маркеры, проверка подлинности и авторизация

Маркер — это понятие безопасности, представляющее либо пользователя (маркер проверки подлинности), либо набор прав (маркер авторизации).

Для получения доступа к ресурсам используется два типа маркеров.

Authentication

Маркер безопасности Azure AD выдается службой маркеров безопасности, которая использует Azure AD как посредническое хранилище удостоверений для проверки подлинности, чтобы определять торгового посредника. Он не передает никаких сведений об авторизации. См. также раздел Сценарии проверки подлинности для Azure AD.

Authorization

Маркер коммерческой безопасности принимается API CREST и авторизует право торгового посредника на выполнение действий на ресурсе и доступ к ним. Маркеры SA_Token и Customer_Token являются маркерами авторизации в API CREST.

• Маркер SA_Token: представляет собой право торгового посредника на доступ и выполнение действий на ресурсах, которыми этот торговый посредник владеет. Например, он используется для доступа к заказу и ресурсам подписки.
• Маркер Customer_Token: представляет собой право торгового посредника на доступ и выполнение действий на ресурсах, которыми владеет клиент. Например, он используется для получения доступа к профилю и ресурсам прав на вознаграждение.

Дополнительные сведения о связи между маркерами и объектами Azure AD см. в разделах Объекты Azure AD и Маркеры.