Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.10.2021

Veritas po raz 16. liderem...

Firma Veritas Technologies, producent uznanych rozwiązań backup klasy enterprise,...
21.10.2021

Zarządzanie IT

We wrześniu BTC Sp. z o.o. zaprezentowała premierową wersję systemu eAuditor V8 AI.
21.10.2021

Konferencja VMworld

Imagine That. Pod takim hasłem w dniach 5–7 października 2021 r. odbyła się jedna z...
21.10.2021

Darmowy deszyfrator

Bitdefender wspólnie z organami ścigania opracował i wydał narzędzie, które pozwala...
21.10.2021

Dell C1422H

Dell Technologies wprowadza do oferty przenośny monitor do zwiększenia wydajności pracy w...
21.10.2021

Dysk dla cyfrowych twórców

Western Digital zaprezentowało nowy dysk – WD Blue SN750 NVMe SSD.
21.10.2021

Projektory laserowe

Optoma wprowadza serię projektorów laserowych Ultra Bright ZU1700, ZU1900, ZU2200 z...
21.10.2021

Orzeł wśród routerów

D-Link wprowadza na rynek smart router EAGLE PRO AI AX1500 R15.
21.10.2021

Nowe generacje Ryzen i Epyc

AMD 3D V-Cache. AMD zapowiada procesory Ryzen i Epyc z nowym rozwiązaniem.

Interfejsy aplikacji Azure AD

Data publikacji: 21-10-2021 Autor: Michał Gajda

Zasoby chmurowe firmy Microsoft są coraz częściej wykorzystywane w organizacjach. Popularności tym rozwiązaniom dodaje również łatwość ich integracji za pomocą interfejsów API dostępnych dla aplikacji usługi Azure AD.

 

U  sługa Azure Active Directory w swojej podstawowej roli pozwala na bezpieczne zarządzanie tożsamością oraz dostępem do zasobów. Codziennie jest ona wykorzystywana, by uwierzytelniać użytkowników praktycznie każdej organizacji, która ją wykorzystuje. Cały proces bazuje na wykorzystywaniu nowoczesnych mechanizmów uwierzytelniania, dzięki którym poszczególne aplikacje końcowe mogą identyfikować swoich użytkowników i zapewniać im dostęp do swoich zasobów.

Aby to wszystko było możliwe, aplikacje końcowe muszą opierać się na interfejsach API dostarczanych przez samą usługę Azure AD. To głównie dzięki wspomnianym interfejsom możliwe jest komunikowanie się danej aplikacji z usługami w chmurze w celu pobierania czy nawet zarządzania informacjami oraz poszczególnymi zasobami usług chmurowych firmy Microsoft.

> INTERFEJSY API

Microsoft w ramach infrastruktury Azure AD zapewnia dostęp do dziesiątek różnych interfejsów. Pozwalają one na zarządzanie zasobami praktycznie większości rozwiązań chmurowych. Począwszy od usług chmury Office 365, poprzez usługi platformy obliczeniowej Azure, a skończywszy na rozwiązaniach dostarczanych przez niezależnych producentów oprogramowania.

Jednymi z wielu przykładowych API, z którymi mogliśmy mieć już styczność w licznych rozwiązaniach i o których warto wspomnieć, są używane od lat interfejsy takie jak Azure Active Directory Graph, Office 365 Exchange Online, SharePoint czy Intune. Były one najczęściej wykorzystywane przez twórców aplikacji, gdyż pozwalały na łatwe zarządzanie podstawowymi aspektami chmury Office 365.

Większość ze wspomnianych interfejsów nadal jest dostępna i z powodzeniem można z nich korzystać. Niestety nie wszystkie są nadal rozwijane pod kątem nowych funkcjonalności, a dla niektórych z nich skończy się z czasem również wsparcie dla istniejących rozwiązań.

> MICROSOFT GRAPH

Wszystkie zasoby gromadzone w chmurze Microsoft stanowią jeden spójny ekosystem. Użytkownicy są zrzeszani w ramach grup dostarczających dostęp do zasobów poszczególnych usług. Indywidualne konta są korelowane z sobą w celu odwzorowania struktury organizacyjnej. Pracownicy współpracują ze sobą, dzieląc swoje dokumenty czy kooperując wykonywane zadania, co zostało przybliżone na rys. 2. Dlatego wykorzystywanie wielu różnych interfejsów w celu zarządzania informacjami z wszystkich usług chmurowych może powodować pewne uniedogodnienia.

W tym celu Microsoft stworzył zupełnie nowy interfejs zapewniający możliwość uzyskiwania dostępu praktycznie do większości zasobów gromadzonych w chmurze. Mianowicie jest nim Microsoft Graph i aktualnie stanowi jeden z najważniejszych interfejsów API firmy. Bazuje on na udostępnianiu dla użytkowników końcowych interfejsu API REST, dzięki któremu możliwe jest generowanie żądania nie tylko do pobierania informacji z poszczególnych usług chmury Microsoftu, ale również i tworzenie żądań zarządzania tymi danymi.

Do najważniejszych usług zarządzalnych za pomocą Microsoft Graph możemy zaliczyć m.in. wszelakie aspekty usługi Azure AD, zespoły Microsoft Teams, dokumenty gromadzone w ramach kont OneDrive, pracę z pocztą Exchange Online czy witrynami SharePoint Online. Umożliwia on również dostęp do szeregu narzędzi związanych z bezpieczeństwem infrastruktury.

Dzięki możliwości generowania uniwersalnych żądań interfejsu API REST możliwe jest wykorzystywanie praktycznie dowolnego narzędzia w celu zarządzania zasobami, począwszy od prostych interfejsów wiersza poleceń, a skończywszy na własnych aplikacjach pisanych przez deweloperów. Wystarczy w ramach usługi Azure AD przypisać niezbędne uprawnienia interfejsu Microsoft Graph dla danego rozwiązania.

> UPRAWNIENIA INTERFEJSÓW API

Jak właśnie wspomniano, aby móc pracować z interfejsami API usługi Azure AD, konieczne jest nadanie stosownych uprawnień dla tworzonego rozwiązania. W tym celu konieczne jest zdefiniowanie instancji reprezentującej wdrażane rozwiązanie w usłudze Azure AD. To właśnie w ramach wspomnianej instancji będą zdefiniowane wszystkie parametry, na które administrator dzierżawy będzie zezwalał przy tworzeniu aplikacji.

Proces tworzenia rozwiązania to nic innego jak zarejestrowanie aplikacji w usłudze katalogowej. Krok ten nie jest skomplikowany i w zasadzie może być wykonany na wiele różnych sposobów, np. przez wykorzystanie skryptów Windows PowerShell czy po prostu za pośrednictwem portalu administracyjnego usługi Azure AD. Ta druga ścieżka, czyli tworzenie poglądowej aplikacji za pomocą portalu, została pokrótce przybliżona w ramce Krok po kroku: Rejestrowanie aplikacji.

Uprawnienia dla poszczególnych interfejsów API zostały podzielone na dwie grupy – uprawnienia delegowane lub aplikacyjne. Ich odpowiedni wybór jest kluczowy pod kątem bezpieczeństwa samych danych. W obydwu przypadkach wdrażana aplikacja uzyska dostęp wyłącznie do danych, jakie wskażemy w ramach uprawnień zarejestrowanej aplikacji. Niemniej jednak w przypadku uprawnień delegowanych wdrażana aplikacja będzie uzyskiwać dostęp tylko do danych, do których ma dostęp sam użytkownik końcowy. W efekcie w ramach aplikacji nastąpi delegacja uprawnień w imieniu użytkownika, przez co wszystkie wykonywane akcje w aplikacji będą rejestrowane, tak jakby wykonywał je sam użytkownik w ramach docelowej usługi chmurowej. Jeżeli użytkownik nie będzie posiadał uprawnień w ramach docelowych zasobów, sama aplikacja również nie będzie mogła wykonać żądanych operacji.

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"