Permisos de Microsoft Graph API requeridos por Korbyt para la integración con Azure AD

Escrito por Ed Kinne

Última actualización Hace 1 día

La API de Microsoft Graph sirve como interfaz para que los desarrolladores interactúen mediante programación con Azure Active Directory (AD), lo que facilita el acceso a una amplia gama de funcionalidades y datos relacionados con usuarios y grupos.

Korbyt Permisos mínimos necesarios

Estos permisos se pueden configurar en los ajustes de registro de la aplicación de Azure AD, en la sección «Permisos de API».

Es importante tener en cuenta que puede ser necesario el consentimiento administrativo tras añadir estos permisos, especialmente en entornos en los que la entidad de servicio de la aplicación carece de privilegios administrativos.

Para el funcionamiento de nuestra aplicación, los permisos mínimos necesarios son:

  • Grupo.Leer.All

    • Requiere acceso a nivel de aplicación para esta llamada a la API

      • El acceso delegado no es suficiente

    • Esencial para enumerar grupos de Azure AD

    • Proporciona acceso a información relacionada con los grupos, como el nombre del grupo, la descripción, las pertenencias y otras propiedades

    • Requerido para que Korbyt pueda gestionar e interactuar de manera eficiente con los grupos dentro del directorio de Azure AD

  • Usuario.Leer.All

    • Requiere acceso a nivel de aplicación para esta llamada a la API

      • El acceso delegado no es suficiente

    • Requerido para enumerar usuarios de Azure AD

    • concediendo acceso a propiedades y relaciones completas de los usuarios, incluido el identificador de seguridad (SID)

    • El SID es un identificador crítico asignado a cada entidad de seguridad en los sistemas operativos Windows, incluido Azure AD

    • Requerido para que Korbyt recupere información vital del usuario, como datos de contacto, datos organizativos y el SID, lo que permite una gestión e interacciones fluidas con el usuario

    • Utilizamos el SID como identificador único al iniciar sesión en los usuarios de Korbyt.

  • Usuario.Leer

    • Es necesario para autenticar al usuario individual cuando inicia sesión

    • El permiso delegado es suficiente para este permiso de API

Al garantizar estos permisos mínimos a nivel de aplicación, nuestra aplicación puede asegurar un acceso seguro y eficiente a los datos relacionados con grupos y usuarios dentro del directorio de Azure AD, al tiempo que cumple con las políticas de la organización y los requisitos normativos.

Con los permisos Grupo.Leer.All y Usuario.Leer.All habilitados, nuestra aplicación está perfectamente equipada para cumplir su funcionalidad de enumeración de grupos y usuarios, proporcionando a los usuarios una experiencia fluida y facilitando una gestión eficaz de usuarios y grupos dentro de nuestro sistema.

Para obtener más información sobre los pasos para conectar Korbyt a su Azure AD, consulte

El resto de este artículo analiza las implicaciones de las llamadas a la API de Microsoft Graph y sus efectos, para que pueda comprender mejor la necesidad de Korbyt de los servicios mencionados anteriormente.

Comprensión de los permisos mínimos necesarios para la enumeración de grupos

Al utilizar la API de Microsoft Graph para enumerar grupos de Azure AD, es esencial configurar los permisos adecuados para garantizar un acceso seguro y eficiente a los datos necesarios.

Los permisos mínimos necesarios para la enumeración de grupos son los siguientes:

  • Grupo.Leer.All: – Acceso a nivel de aplicación REQUERIDO

    • Este permiso permite leer todos los grupos del directorio de Azure AD.

    • Proporciona acceso a información relacionada con los grupos, como el nombre del grupo, la descripción, las pertenencias y otras propiedades.

  • Group.ReadWrite.All: – No requerido y no recomendado para el acceso de Korbyt

    • Además de leer la información de los grupos, este permiso otorga a la aplicación la capacidad de modificar las propiedades y las pertenencias de los grupos.

    • Proporciona acceso completo de lectura y escritura a todos los grupos del directorio de Azure AD.

    • Korbyt No desea este nivel de acceso a su Azure Active Directory.

Comprensión de los permisos de lectura de miembros de grupo

Mientras que los permisos «Grupo.Leer.All» y «Group.ReadWrite.All» se centran en el acceso a información relacionada con los grupos, es fundamental diferenciar las implicaciones del uso del permiso «GroupMember.Read.All» en este contexto.

  • GroupMember.Read.All: no es necesario ni suficiente para el acceso a Korbyt

    • Este permiso otorga a la aplicación la capacidad de leer los miembros de todos los grupos dentro del directorio de Azure AD.

    • Proporciona acceso a las pertenencias de usuarios o aplicaciones dentro de los grupos.

Consideración importante: Aunque GroupMember.Read.All permite leer los miembros de los grupos, no proporciona permisos para enumerar los propios grupos. Esto significa que, si bien la aplicación puede obtener información sobre los miembros de los grupos, carece de la capacidad de enumerar los grupos presentes en el directorio de Azure AD.

Comprensión de los permisos mínimos necesarios para la enumeración de usuarios

Al utilizar la API de Microsoft Graph para enumerar usuarios de Azure AD, es imprescindible configurar los permisos adecuados para garantizar un acceso seguro y eficaz a los datos necesarios.

  • Usuario.Leer.All: Acceso a nivel de aplicación REQUERIDO

    • Este permiso otorga a su aplicación la capacidad de leer todos los perfiles de usuario dentro del directorio de la organización.

    • Proporciona acceso a propiedades y relaciones completas de los usuarios, incluyendo detalles como información de contacto, datos organizativos y mucho más. Usuario.Leer.All es suficiente para recuperar información básica sobre los usuarios.

  • User.ReadWrite.All: No es necesario ni recomendable para el acceso a Korbyt

    • Además de leer perfiles de usuario, este permiso facilita la modificación de los datos de usuario.

    • Permite a su aplicación leer y escribir todas las propiedades de los usuarios dentro del directorio de la organización, ofreciendo un acceso completo para la manipulación y gestión de datos.

    • Este permiso no se recomienda para la integración con Korbyt.

  • User.ReadBasic.All: No es necesario ni suficiente para el acceso a Korbyt

    • No incluye el acceso al SID

    • El SID es necesario para identificar al usuario al iniciar sesión

Permisos a nivel de aplicación necesarios para la enumeración de grupos y usuarios

Para acceder al SID y a otras propiedades detalladas de todos los usuarios del directorio, se requieren permisos de nivel de aplicación (también conocidos como permisos de nivel de aplicación o de nivel de administrador).
Estos permisos suelen ser concedidos por un administrador y se aplican a todo el directorio.

Los permisos delegados conceden acceso únicamente al perfil del usuario que ha iniciado sesión, en lugar de a todo el directorio, lo que significa que el permiso lo concede el usuario que ha iniciado sesión solo para su propio perfil de usuario y los perfiles a los que tiene acceso.
Por lo tanto, no es suficiente para leer todos los grupos o usuarios que requieren acceso.

Comprensión de los permisos mínimos necesarios para el inicio de sesión del usuario

  • Usuario.Leer: REQUIRED

    • El acceso delegado es suficiente para esta llamada a la API

    • Se utiliza cuando la persona solicita iniciar sesión en Korbyt para verificar su información de SID dentro del Active Directory de la organización