App-Authentifizierung mit Microsoft Graph

Um auf die Microsoft-Daten eines Benutzers zuzugreifen, muss die Anwendung es den Benutzern ermöglichen, ihre Identität zu authentifizieren und ihr Einverständnis zu geben, dass die App Aktionen in ihrem Namen ausführen darf.

Der Microsoft Graph unterstützt zwei Authentifizierungsanbieter:

  • Verwenden Sie für die Authentifizierung von Benutzern mit persönlichen Microsoft-Konten, beispielsweise ein live.com- oder _outlook.com-_Konto, den Endpunkt Azure Active Directory (Azure AD) v2.0.
  • Verwenden Sie für die Authentifizierung von Benutzern mit Unternehmenskonten (Arbeit oder Bildungseinrichtung) Azure AD.

Sie erstellen Apps für Unternehmenskunden? Ihre App funktioniert möglicherweise nicht, wenn Ihr Unternehmenskunde Enterprise Mobility-Sicherheitsfunktionen wie bedingten Gerätezugriff aktiviert.

Zur Unterstützung aller Unternehmenskunden über alle Unternehmensszenarien hinweg müssen Sie den Azure AD-Endpunkt verwenden und Ihre Apps mithilfe des Azure-Verwaltungsportals verwalten.

Microsoft Graph-Anwendungsstapel. Die Authentifizierung ist als Schicht zwischen Ihrer App und den unterschiedlichen Microsoft Graph-Ressourcen dargestellt.

Entscheiden zwischen dem Azure AD- und dem Azure AD v2.0-Endpunkt

In der folgenden Tabelle sind die wichtigsten Features zusammengefasst, die Azure AD- und Azure AD v2.0-Endpunkte unterstützen. Außerdem werde Links zu weiteren Informationen bereitgestellt. Die relative Wichtigkeit dieser Features – und somit die Auswahl des Authentifizierungsanbieters für Bereitstellung in Ihrer App – hängt hauptsächlich von folgenden Faktoren ab:

  • Dem Kontotyp (Unternehmen oder Heimanwender), den Ihre App unterstützen muss
  • Der Art der App, die Sie erstellen möchten
  • Dem erforderlichen Authentifizierungsfluss
Dem Azure AD-Endpunkt Dem Azure AD v2.0-Endpunkt
Den unterstützten Grant-Typen

Dem Authorisierungscode

Implizit

Client-Anmeldeinformationen

Anmeldeinformationen des Resourcenbesitzers

Dem Authorisierungscode

Implizit

Client-Anmeldeinformationen

Unterstützte Typen hinzufügen

Web-Apps

Web-APIs

Mobile und native Apps

Einzelseiten-App (Single Page App, SPA)

Eigenständige Web-APIs

Daemons/Serverseitige Apps

Apps vom Cloudlösungsanbieter

Weitere Informationen

Web-Apps

Web-APIs

Mobile und native Apps

Einzelseiten-App (Single Page App, SPA)

Daemons/Serverseitige Apps

Weitere Informationen

Geräterichtlinien für bedingten Zugriff Unterstützt Derzeit nicht unterstützt
OAuth 2.0- und OpenID Connect-konform Nein Ja
Berechtigungen Statisch: Festgelegt während der App-Registrierung Dynamisch: Anforderung während App-Laufzeit; beinhaltet inkrementelle Zustimmung
Kontotypen

Geschäft oder Schule

Geschäft oder Schule

Persönlich

App-ID Separate App-ID für jede Plattform Eine App-ID für mehrere Plattformen
Registrierungsportal Microsoft Azure-Verwaltung Microsoft-Anwendungsregistrierung
Client-Bibliotheken ADAL-SDKs (Active Directory Authentification) für die meisten Entwicklungsplattformen

Microsoft-Authentifizierungsbibliothek (Vorschau)

Open Source OAuth 2.0-Bibliotheken (Liste)

Sonstige Funktionen

Gruppenansprüche für Azure AD-Benutzer

Anwendungsrollen und Rollenansprüche

Außerdem erfordern die beiden Authentifizierungsanbieter unterschiedliche Zustimmungsbereiche. Unterschiede hinsichtlich der Ansprüche, die in unterschiedlichen Tokens zurückgegeben werden, sind ebenfalls vorhanden. Weitere Informationen finden Sie unter Bekannte Bereiche und Token-Ansprüche in Was ist anders am v2.0-Endpunkt?.

Der Azure AD v2.0-Endpunkt befindet sich außerdem in aktiver Entwicklung, es werden also zusätzliche Features und unterstützte Szenarien hinzugefügt. Eine aktuelle Liste mit Einschränkungen für den Azure AD v2.0-Endpunkt finden Sie unter Sollte ich den v2.0-Endpunkt verwenden?.

Registrieren Ihrer App zur Authentifizierung

Wenn Sie sich für den Authentifizierungsanbieter entschieden haben, der die Anforderungen Ihrer App erfüllt, müssen Sie Ihre App im Portal des Authentifizierungsanbieters registrieren. Durch die Registrierung Ihrer App wird die Identität Ihrer App beim Authentifizierungsanbieter geschaffen. Außerdem kann die App so ihre Identität angeben, wenn sie Authentifizierungsanfragen vom Benutzer einreicht.

Ressourcen für die Implementierung von Authentifizierungen in Ihrer Microsoft Graph-App.

Nachdem Sie Ihre App beim entsprechenden Authentifizierungsportal registriert haben und über die App-Registrierungsinformationen (App-ID, App-Geheimnis, falls zutreffend, und die Umleitungs-URI) verfügen, die Sie für die Erstellung der App-identität benötigen, können Sie die Authentifizierung in Ihrer App implementieren.

Dies ist erneut wiederum abhängig vom App-Typ, den Sie erstellen, Ihrer Entwicklungsplattform, dem gewählten Authentifizierungsfluss und den speziellen Authentifizierungsanforderungen für Ihre App.

Beispiele nach Authentifizierungsanbieter und -plattform verbinden

In der folgenden Tabbelle sind die Connect-Beispiele nach Authentifizierungsanbieter und -plattform aufgeführt. Weiterhin wird angegeben, ob sie sich über REST oder eine Microsoft Graph-Client-Bibliothek mit Microsoft Graph verbinden.

Plattform Dem Azure AD-Endpunkt Dem Azure AD v2.0-Endpunkt
Android REST-Beispiel oder SDK-Beispiel SDK-Beispiel
ASP.NET REST-Beispiel SDK-Beispiel
iOS (Obj-C) REST-Beispiel SDK-Beispiel
iOS (Swift) REST-Beispiel SDK-Beispiel
Node.js REST-Beispiel REST-Beispiel
PHP REST-Beispiel REST-Beispiel
Python REST-Beispiel
Ruby REST-Beispiel REST-Beispiel
UWP REST-Beispiel REST-Beispiel oder SDK-Beispiel
Xamarin SDK-Beispiel

Eine große Bandbreite an Projekten, die sich über ein breites Sortiment an Technologien mit Microsoft Graph verbinden, finden Sie im Microsoft Graph-Repository auf GitHub.

Erste Schritte

Der Abschnitt Erste Schritte enthält detaillierte Artikel, in den beschrieben wird, wie Sie die in der Tabelle aufgeführten Apps mit dem Azure AD v2.0-Endpunkt erstellen. Außerdem werden die Authentifizierungsbibliotheken besprochen, die auf jeder Plattform verwendet werden.

Siehe auch