了解 Azure Active Directory 與 Microsoft Graph 的角色
Microsoft Graph 提供統一的 API,可用來存取儲存在 Microsoft 365 和其他服務的資料和情報。 儲存在這些服務中的資料會透過 Microsoft 身分識別平台進行保護。 此平台可協助確保只有已授權的使用者和應用程式可以存取資料。
Microsoft 身分識別包含數個可處理驗證、單一登入 (SSO)、發行安全性權杖等元件。 它提供開放原始碼程式庫,例如可與各種程式設計語言一起使用的 Microsoft 驗證程式庫 (MSAL)。 Microsoft 身分識別平台的重要部分是 Azure Active Directory (Azure AD)。
若要在應用程式中使用 Microsoft Graph,您必須:
- 使用 Azure 入口網站,向 Azure AD 註冊您的應用程式。
- 在應用程式的 MSAL 程式碼中新增 Azure AD 應用程式註冊識別碼,以將應用程式與適當的 Azure AD 目錄關聯。
- 提供一種讓使用者能夠登入應用程式的方式 (例如,選取按鈕)。
使用者登入之後,應用程式的 MSAL 程式碼會接收存取權杖。
應用程式接著可以使用存取權杖進行 Microsoft Graph 呼叫,並從 Microsoft 365 服務中擷取客戶互動資料。
當應用程式使用存取權杖時,Microsoft Graph 可以存取哪種類型的資料? 答案取決於已定義的權限。 也取決於使用者或系統管理員的同意。 讓我們更仔細看看存在的權限類型,以及同意所扮演的角色。