Différences d’authentification entre les services web Exchange (EWS) et Microsoft Graph
Exchange Web Services (EWS) et Microsoft Graph utilisent Plateforme d'identités Microsoft OAuth 2.0 pour l’authentification et l’autorisation.
Remarque
Actuellement, EWS prend également en charge l’authentification de base. L’authentification de base est déconseillée et désactivée dans les organisations Microsoft 365. Microsoft Graph ne prend pas en charge l’authentification de base. Par conséquent, les applications qui n’ont pas encore migré vers OAuth 2.0 doivent le faire pour accéder à Microsoft Graph.
Autorisations
EWS et Microsoft Graph offrent deux types d’autorisations : déléguées et d’application. Les autorisations déléguées se trouvent dans le contexte d’un utilisateur authentifié. Les autorisations d’application sont accordées à une application qui n’agit pas au nom d’un utilisateur.
Avec EWS, une application a accès à tout ce à quoi l’utilisateur a accès (avec des autorisations déléguées) ou à tout ce à quoi EWS peut accéder (avec des autorisations d’application).
EWS a un modèle d’accès tout ou rien et il n’existe aucune étendue précise pour limiter l’accès aux données dans une boîte aux lettres. En revanche, Microsoft Graph offre des autorisations précises à des fonctionnalités spécifiques dans une boîte aux lettres Exchange Online. Par exemple, il est possible d’autoriser une application à lire uniquement les messages électroniques et à n’avoir aucun accès aux calendriers ou aux contacts. Les autorisations effectives pour l’authentification déléguée sont l’intersection des privilèges de l’utilisateur et des autorisations qui ont été consentées pour l’application. Pour l’authentification de l’application, les autorisations effectives sont l’ensemble d’autorisations consentées par un administrateur.
Pour obtenir la liste complète des autorisations Microsoft Graph liées à Exchange, consultez :
- Autorisations de courrier
- Autorisations de calendrier
- Autorisations de contacts personnels
- Autorisations de tâches
Emprunt d’identité
L’emprunt d’identité EWS fournit un mécanisme permettant aux applications EWS qui s’exécutent en tant que compte de service d’agir en tant qu’utilisateur. Cela permet à l’application d’effectuer des actions, telles que l’envoi d’un e-mail, qui semblent provenir de l’utilisateur qui a emprunté l’identité.
Avec Microsoft Graph, il n’existe aucun compte de service. Au lieu de cela, les autorisations sont accordées directement aux applications. L’application s’authentifie à l’aide du flux d’informations d’identification du client avec sa propre identité. Par défaut, le consentement de l’administrateur accorde l’accès aux boîtes aux lettres de tous les utilisateurs, mais les applications peuvent être limitées à des boîtes aux lettres spécifiques par un administrateur. La façon d’obtenir l’emprunt d’identité dans Microsoft Graph consiste à utiliser la stratégie d’accès aux applications et les autorisations d’application.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour