API Graph Azure Active DirectoryAzure Active Directory Graph API

Important

Depuis février 2019, nous avons lancé le processus ayant pour but de déprécier certaines versions antérieures de l’API Azure Active Directory Graph au profit de l’API Microsoft Graph.As of February 2019, we started the process to deprecate some earlier versions of Azure Active Directory Graph API in favor of the Microsoft Graph API.

Pour plus de détails, de mises à jour et de délais, consultez la page Microsoft Graph ou Azure AD Graph dans le centre de développement Office.For details, updates, and time frames, see Microsoft Graph or the Azure AD Graph in the Office Dev Center.

Pour l’avenir, les applications doivent utiliser l’API Microsoft Graph.Moving forward, applications should use the Microsoft Graph API.

Cet article s’applique à l’API Graph Azure AD.This article applies to Azure AD Graph API. Pour obtenir des informations similaires sur l’API Microsoft Graph, consultez Utiliser l’API Microsoft Graph.For similar info related to Microsoft Graph API, see Use the Microsoft Graph API.

L’API Graph Azure Active Directory fournit un accès par programme à Azure AD via les points de terminaison de l’API REST.The Azure Active Directory Graph API provides programmatic access to Azure AD through REST API endpoints. Les applications peuvent utiliser l’API Azure AD Graph pour des opérations de création, de lecture, de mise à jour et de suppression (CRUD) sur des données et objets du répertoire.Applications can use Azure AD Graph API to perform create, read, update, and delete (CRUD) operations on directory data and objects. Par exemple, l’API Azure AD Graph prend en charge les opérations courantes suivantes pour un objet utilisateur :For example, Azure AD Graph API supports the following common operations for a user object:

  • Création d’un nouvel utilisateur dans un répertoireCreate a new user in a directory
  • Obtention des propriétés détaillées d’un utilisateur, par exemple ses groupesGet a user’s detailed properties, such as their groups
  • Mise à jour des propriétés d’un utilisateur, par exemple son emplacement et son numéro de téléphone, ou modification de son mot de passeUpdate a user’s properties, such as their location and phone number, or change their password
  • Vérification de l’appartenance de l’utilisateur au groupe pour les accès basés sur les rôlesCheck a user’s group membership for role-based access
  • Désactivation ou suppression totale d’un compte d’utilisateurDisable a user’s account or delete it entirely

De plus, vous pouvez effectuer des opérations similaires sur d’autres objets, comme les groupes et les applications.Additionally, you can perform similar operations on other objects such as groups and applications. Pour appeler l’API Azure AD Graph sur un répertoire, votre application doit être inscrite auprès d’Azure AD.To call Azure AD Graph API on a directory, your application must be registered with Azure AD. Elle doit également avoir accès à l’API Azure AD Graph.Your application must also be granted access to Azure AD Graph API. Cette autorisation fait généralement l’objet d’un consentement de la part de l’utilisateur ou de l’administrateur.This access is normally achieved through a user or admin consent flow.

Pour commencer à utiliser l’API Azure Active Directory Graph, consultez le Guide de démarrage rapide de l’API Graph Azure AD ou la documentation interactive de référence de l’API Azure AD Graph.To begin using the Azure Active Directory Graph API, see the Azure AD Graph API quickstart guide, or view the interactive Azure AD Graph API reference documentation.

CaractéristiquesFeatures

L’API Azure AD Graph fournit les fonctionnalités suivantes :Azure AD Graph API provides the following features:

  • Points de terminaison de l’API REST : l’API Graph Azure AD est un service RESTful constitué de points de terminaison accessibles via des requêtes HTTP standard.REST API Endpoints: Azure AD Graph API is a RESTful service comprised of endpoints that are accessed using standard HTTP requests. L’API Azure AD Graph prend en charge les types de contenu XML ou Javascript Objet Notation (JSON) pour les requêtes et les réponses.Azure AD Graph API supports XML or Javascript Object Notation (JSON) content types for requests and responses. Pour plus d’informations, consultez Informations de référence sur l’API REST Graph Azure AD.For more information, see Azure AD Graph REST API reference.

  • Authentification avec Azure AD : chaque requête à l’API Graph Azure AD doit être authentifiée en ajoutant un JWT (JSON Web Token) dans l’en-tête d’autorisation de la requête.Authentication with Azure AD: Every request to Azure AD Graph API must be authenticated by appending a JSON Web Token (JWT) in the Authorization header of the request. Ce jeton est obtenu via une requête effectuée sur le point de terminaison du jeton Azure AD et la fourniture d’informations d’identification valides.This token is acquired by making a request to Azure AD’s token endpoint and providing valid credentials. Vous pouvez utiliser le processus d’informations d’identification client OAuth 2.0 ou le processus d’octroi de code d’autorisation afin d’obtenir un jeton pour appeler Graph.You can use the OAuth 2.0 client credentials flow or the authorization code grant flow to acquire a token to call the Graph. Pour plus d’informations, consultez OAuth 2.0 dans Azure AD.For more information, OAuth 2.0 in Azure AD.

  • Autorisation basée sur les rôles (RBAC)  : des groupes de sécurité sont utilisés pour affecter des RBAC dans l’API Graph Azure AD.Role-Based Authorization (RBAC): Security groups are used to perform RBAC in Azure AD Graph API. Par exemple, si vous souhaitez déterminer si un utilisateur a accès à une ressource spécifique, l’application peut appeler l’opération de vérification de l’appartenance au groupe (opération transitive), qui renvoie true ou false.For example, if you want to determine whether a user has access to a specific resource, the application can call the Check group membership (transitive) operation, which returns true or false.

  • Requête différentielle : la requête différentielle vous permet de vérifier les modifications apportées dans un répertoire entre deux périodes, sans avoir à envoyer des requêtes fréquentes à l’API Graph Azure AD.Differential Query: Differential query allows you to track changes in a directory between two time periods without having to make frequent queries to Azure AD Graph API. Ce type de demande renvoie uniquement les modifications apportées entre la demande de requête différentielle précédente et la demande en cours.This type of request will return only the changes made between the previous differential query request and the current request. Pour plus d’informations, consultez Requête différentielle de l’API Graph Azure AD.For more information, see Azure AD Graph API differential query.

  • Extensions d’annuaire : vous pouvez ajouter des propriétés personnalisées aux objets d’annuaire sans recourir à une banque de données externe.Directory Extensions: You can add custom properties to directory objects without requiring an external data store. Par exemple, si votre application nécessite une propriété d’identifiant Skype pour chaque utilisateur, vous pouvez enregistrer la nouvelle propriété dans le répertoire. Elle sera alors disponible sur chaque objet utilisateur.For example, if your application requires a Skype ID property for each user, you can register the new property in the directory and it will be available for use on every user object. Pour plus d’informations, consultez Extensions de schéma d’annuaire de l’API Graph Azure AD.For more information, see Azure AD Graph API directory schema extensions.

  • Sécurisation par des étendues d’autorisation : l’API Graph Azure AD expose les étendues d’autorisation qui permettent un accès sécurisé aux données Azure AD avec OAuth 2.0.Secured by permission scopes: Azure AD Graph API exposes permission scopes that enable secure access to Azure AD data using OAuth 2.0. Cette méthode prend en charge différents types d’applications clientes, notamment :It supports a variety of client app types, including:

    • les interfaces utilisateur qui bénéficient d’un accès délégué aux données par le biais de l’autorisation de l’utilisateur connecté (délégué),user interfaces that are given delegated access to data via authorization from the signed-in user (delegated)

    • les applications de service/démon qui s’exécutent à l’arrière-plan sans qu’un utilisateur connecté soit présent et qui utilisent un contrôle d’accès en fonction du rôle défini par l’applicationservice/daemon applications that operate in the background without a signed-in user being present and use application-defined role-based access control

      Les autorisations déléguées et des applications représentent un privilège exposé par l’API Azure AD Graph. Elles peuvent être demandées par les applications clientes au moyen des fonctionnalités d’autorisation d’inscription des applications sur le Portail Azure.Both delegated and application permissions represent a privilege exposed by the Azure AD Graph API and can be requested by client applications through application registration permissions features in the Azure portal. Les étendues d’autorisation de l’API Graph Azure AD fournissent des informations sur ce qui peut être utilisé par votre application cliente.Azure AD Graph API permission scopes provides information on what's available for use by your client application.

ScénariosScenarios

L’API Azure AD Graph sert dans de nombreux scénarios d’application.Azure AD Graph API enables many application scenarios. Les scénarios suivants sont les plus courants :The following scenarios are the most common:

  • Application métier (monolocataire)  : dans ce scénario, un développeur en entreprise travaille pour une organisation qui a un abonnement Office 365.Line of Business (Single Tenant) Application: In this scenario, an enterprise developer works for an organization that has an Office 365 subscription. Le développeur crée une application web qui interagit avec Azure AD pour effectuer des tâches telles que l’attribution d’une licence à un utilisateur.The developer is building a web application that interacts with Azure AD to perform tasks such as assigning a license to a user. Cette tâche nécessite l’accès à l’API Azure AD Graph. Le développeur enregistre donc l’application à un seul locataire dans Azure AD, puis configure les autorisations en lecture et en écriture pour l’API Azure AD Graph.This task requires access to the Azure AD Graph API, so the developer registers the single tenant application in Azure AD and configures read and write permissions for Azure AD Graph API. Ensuite, l’application est configurée pour utiliser ses propres informations d’identification ou celles de l’utilisateur actuellement connecté, afin de se procurer un jeton et d’appeler l’API Azure AD Graph.Then the application is configured to use either its own credentials or those of the currently sign-in user to acquire a token to call the Azure AD Graph API.
  • Application Software as a Service (multilocataire)  : dans ce scénario, un éditeur de logiciels indépendant (ISV) développe une application web multilocataire hébergée qui fournit des fonctionnalités de gestion utilisateur à d’autres organisations qui utilisent Azure AD.Software as a Service Application (Multi-Tenant): In this scenario, an independent software vendor (ISV) is developing a hosted multi-tenant web application that provides user management features for other organizations that use Azure AD. Ces fonctionnalités nécessitant l’accès aux objets d’annuaire, l’application doit donc appeler l’API Azure AD Graph.These features require access to directory objects, so the application needs to call the Azure AD Graph API. Le développeur enregistre l’application dans Azure AD, la configure pour exiger des autorisations en lecture et en écriture pour l’API Azure AD Graph, puis active l’accès externe afin que d’autres organisations puissent consentir à utiliser l’application dans leur répertoire.The developer registers the application in Azure AD, configures it to require read and write permissions for Azure AD Graph API, and then enables external access so that other organizations can consent to use the application in their directory. Lorsqu’un utilisateur d’une autre organisation s’authentifie à l’application pour la première fois, une boîte de dialogue de consentement s’affiche, avec les autorisations demandées par l’application.When a user in another organization authenticates to the application for the first time, they are shown a consent dialog with the permissions the application is requesting. Ce consentement accorde à l’application les autorisations demandées sur l’API Azure AD Graph dans le répertoire de l’utilisateur.Granting consent will then give the application those requested permissions to Azure AD Graph API in the user’s directory. Pour plus d’informations sur l’infrastructure de consentement, consultez Vue d’ensemble de l’infrastructure de consentement.For more information on the consent framework, see Overview of the consent framework.

Étapes suivantesNext steps

Pour commencer à utiliser l’API Graph Azure Active Directory, consultez les rubriques suivantes :To begin using the Azure Active Directory Graph API, see the following topics: