問題タブ [azure-ad-graph-api]

基本的には自社用に作っている社員ポータルにSSOを実装しているのですが、グラフAPIにもアクセスできるようにしたいです(少なくとも、AzureAD REST APIの項目の追加/削除/取得など) SSO 経由でサインインする必要はありません。

このようにして、ある種の API キー/秘密のセットアップであると考えているものを使用して、何らかの方法で AD と対話する cron ジョブをスケジュールできます。技術的には、サインインして自分のアカウントをこれを実行するアカウントに設定することはできますが、それは一種のハッキーで信頼性が低いようです (たとえば、アカウントに何かが起こった場合、パスワードの有効期限が切れたり、変更されたりすると、更新トークンはもはや再度サインインする必要があり、タスクが一時的に中断される可能性があります。)

数か月前にこれを実装することを検討していたときに、これに関するドキュメントをどこかで見たことがあると断言できましたが、今では一生見つけることができません。

これが重複していないことを本当に願っています。検索する言葉遣いが思いつかないだけで、SSO ベースの API 情報が得られません。

更新 - わかりました、私はこれを理解したようです (以下に投稿された Shaun Luttin の回答の助けを借りて: https://stackoverflow.com/a/32618417/3721165 [便利なリンク])

ですから、ショーンがまとめてくれたすべての情報は本当に役に立ちました。当初、ドキュメントは、言葉遣いの仕方や、いくつかの例の複雑さのために、かなり混乱していました。しかし、いくつかの例に加えて、Shaun が提供した情報のいくつかを掘り下げ、自分でいくつかの実験/研究を行うと、これを思いつくことができました (基本的なデモ/概念):

さらなる調査の結果、Graph API を意図したとおりに使用するには、アプリ ID/ URL。

だから、私はショーンの答えを受け入れていますが、その答えの私の作業結果も伝えたかったのです。

助けてくれてありがとう、みんな！

グラフを使用して新しい Azure AD ユーザーを作成しようとしています。使用される HTTP 要求 URL は以下のとおりです。

リクエストタイプは「POST」リクエストボディは次のようになります

ヘッダ

上記のリクエストを実行すると、レスポンス コード 415 が返されます。これはContent-Typeが原因だと思います。のような Content-Type のさまざまな組み合わせを試しましたがapplication/json;odata=minimalmetadata、application/json;odata=verboseそれでも応答 415 が返されます。ヘッダーに何か不足していますか? POSTMAN を介して同じ要求を試みたときは機能していますが、Java アプリケーションを使用して同じ要求を行うと失敗します。

Windows Azure AD Graph REST API、特にusersエンドポイントを使用して、返されたユーザーが Office365 の共有メールボックスかどうかを確認する方法はありますか?

powershell コマンドレットを使用する場合、Get-MsolUserこれは明らかにCloudExchangeRecipientDisplayType属性を介して確認できますが、REST API にはないようです。これは何らかの形で REST API を介して公開されていますか、それともその情報を取得する別の方法はありますか?

Azure AD に対してクエリを実行するアプリケーションがあります。ユーザーに対してボグ標準の GET を実行すると、完全に機能します。

しかし、差分クエリを試みると:

次のエラーが表示されます。

この投稿は、これがコード化されるべき予想されるエラー ケースではなく、AzureAD の問題である可能性があることを示唆しています。

Azure Active Directory があり、Web Api には、Azure に登録したアプリケーションとクライアント証明書を使用して、Azure Graph Api からトークンを取得できるコードがあります。ここに私が今使っているコードがあります：

このコード スニペットは問題なく動作します。必要なのは、ログインしているユーザーのコンテキストを持つより具体的なトークンです。基本的には、ユーザー名とパスワードを渡して、Azure から Graph トークンを取得できるようにする必要があります。何か案は？

Azure AD Graph API を使用する ASP.NET アプリケーションがあります。多くの場合、Graph API に対して無効な操作が実行されると、例外がスローされます。

次のコードは、例外をトリガーする無効な Graph API 呼び出しを示しています。

内部例外のメッセージは、各引用符の前にスラッシュが付いた JSON 文字列です。次のようになります。

例外メッセージが見つかった [ローカル] ウィンドウのスクリーンショットを添付します。

この JSON を .NET オブジェクトに変換して、有益なエラーの詳細を返したいと考えています。これには JSON.NET ライブラリを使用しており、JSON がODataErrorオブジェクトに逆シリアル化されると想定しています。

ただし、逆シリアル化されたオブジェクトの値は常に ですnull。これは、変換が期待どおりに機能していないことを意味します。

そうは言っても、上記の JSON 文字列はどのクラスにマップする必要がありますか? また、適切な逆シリアル化のために文字列からスラッシュを削除する必要がありますか?

私は Azure AD の RBAC、特にカスタム アプリケーション ロールで遊んでいます。

すべてうまく機能しますが、少し手動です。つまり、マニフェストをダウンロード、編集、アップロードしてから、管理ポータルを介して各ユーザー/グループをこれらのロールの 1 つに割り当てます。

PowerShell またはコードを介してそれを行う方法はありますか?たとえば、Graph API はありますか?

そうでない場合は、計画されている機能だと思いますので、ETAの可能性を知っている人はいますか?

ASP.NET MVC 4.6 アプリケーションがあり、アプリケーション ID を使用してバックグラウンドで Azure Graph API にアクセスできるようにしたいと考えていますが、アプリケーションの認証と承認には Azure AD ユーザーを使用したいと考えています。

最終的な目標は、ユーザーが最初に Google や Facebook を使用して登録したり、独自のユーザー名を入力したりできるようにすることです。この登録中に、アプリケーションは Graph API を利用して、バックグラウンドで Azure AD ユーザーを作成します。

登録後、ユーザーが Google、Facebook、または独自のユーザー名を使用してログオンすると、Azure AD ユーザーを参照してグループまたはロールを取得します。

これは可能ですか、それとも良い考えですか？私は他の提案を受け入れます。ありがとう！

グラフ API を使用して、Azure AD でグループを取得します。表示名でグループを取得した後、このグループのメンバーを取得したいと思います。しかし、応答にはメンバーが表示されず、クエリを作成したのと同じグループのみが表示されます。私は何を間違っていますか？

リクエスト:

https://graph.windows.net/(テナントID)/groups/(グループID)/members?api-version=2013-11-08

応答:

このグループのメンバーを取得するにはどうすればよいですか?

前もって感謝します！