#azure-active-directory #microsoft-graph-api #microsoft-teams #microsoft-graph-sdks
#azure-active-directory #microsoft-graph-api #microsoft-команды #microsoft-graph-sdks
Вопрос:
Что делегируется в Msgraph api. Означает ли это, что мы не можем использовать его, создавая приложение в Azure Active Directory. https://learn.microsoft.com/en-us/graph/api/application-post-calls?view=graph-rest-1.0amp;tabs=http#permissions Я хочу использовать API-интерфейсы онлайн-собраний и звонков без участия моих клиентов для регистрации teams или Microsoft
Ответ №1:
Делегированные разрешения используются для вызова API-интерфейсов от имени пользователя, вошедшего в систему. Если API поддерживает только их, пользователю необходимо будет войти в ваше приложение, чтобы вы могли вызывать API от его имени. Токены обновления позволяют делать это в течение длительного времени, не требуя от пользователя взаимодействия с приложением, но они могут истекать и истекают. Другим вариантом может быть использование потока ROPC, но для этого требуется использовать имя пользователя и пароль для получения токенов, и у этого пользователя не может быть, например, включен MFA (один из многих случаев, когда ROPC не работает).
Ответ №2:
Существует два основных механизма, которые приложение может использовать для доступа к графику. Первый — это подход «приложения», при котором администратор должен предоставить ему права доступа, а затем он может получить доступ к определенным службам / конечным точкам. Часто существует «секрет приложения», который используется вместе с «идентификатором» приложения. В прошлом это было похоже на то, как мы создавали конкретную учетную запись службы пароль. ROPC еще более похож, и на самом деле для него требуется имя пользователя пароль, но обычно это не рекомендуется.
Другой — «делегированный», что означает, что приложение может получить доступ к определенным ресурсам, специфичным для этого пользователя (например, к его собственному почтовому ящику). В этом случае от самого пользователя может потребоваться «утвердить» право приложения на доступ к graph от его / ее имени.
Обратите внимание, что ОБА этих параметра предполагают использование приложения Azure AD, но какой вариант разрешения вы можете использовать, зависит от конкретной операции в графике, которую вы хотите вызвать. В качестве примера предположим, что вы хотите получить доступ к списку участников в команде Teams. Это объясняется здесь, где в разделе «разрешения» указано, что для этого можно использовать либо разрешения приложения, либо делегированные разрешения. Напротив, вот еще одна операция, которая может быть выполнена ТОЛЬКО с делегированными разрешениями, а не автономным приложением без предоставления доступа пользователем.