我正在通过Microsoft Graph为我们的SaaS应用程序进行Outlook集成。就目前而言,我的应用程序具有基本的身份验证(用户名/密码(,并且为了能够从 Microsoft Graph 调用 API 方法,用户必须登录到他的Microsoft帐户,并且将身份验证方法从当前更改为 AD 驱动的方法可能还不是一种选择,因为它会影响很多模块。
是否可以将配置文件链接到用户拥有的Microsoft帐户,自动登录它们并使用它来调用 API 方法 - 就像 Facebook 和 Twitter 的风格一样?如果没有,我如何能够调用 API 方法,而无需在每次会话过期时登录它们?
你的方案有几个选项:
AD 支持在 V1 身份验证中授予资源所有者凭据,这允许你使用用户凭据进行身份验证。这有一些限制,例如缺少对 MFA 的支持,并且要求您在处理用户凭据时非常小心。
或者,可以使用 V2 身份验证客户端凭据流调用 Graph,其中租户管理员同意应用程序代表其租户调用 Graph。使用此流,服务还可以在 Graph 中查询资源,而无需用户完成登录流。