Azure AD - 检索本地AD组公用名

时间:2016-03-08 21:30:17

标签: azure azure-active-directory microsoft-graph azure-ad-graph-api

我有一个应用程序需要根据其本地AD公用名过滤权限。几个笔记:

  • Azure AD Connect正在OnPrem AD和Azure之间同步数据
  • 我已成功将登录用户的组信息从Azure Graph API检索到Web应用程序中。

我遇到的问题是从Graph API返回的数据不是我需要的,或者我没有正确配置Azure AD Connect。组的Graph API JSON返回对象记录为here

以下是Graph API返回的Group对象:

{
  "odata.metadata": "https://graph.windows.net/myorganization/$metadata#directoryObjects/Microsoft.DirectoryServices.Group/@Element",
  "odata.type": "Microsoft.DirectoryServices.Group",
  "objectType": "Group",
  "objectId": "b4bda672-1fba-4711-8fb1-5383c40b2c14",
  "deletionTimestamp": null,
  "description": "Marketing Department",
  "dirSyncEnabled": null,
  "displayName": "Marketing",
  "lastDirSyncTime": null,
  "mail": null,
  "mailNickname": "BposMailNickName",
  "mailEnabled": false,
  "onPremisesSecurityIdentifier": null,
  "provisioningErrors": [],
  "proxyAddresses": [],
  "securityEnabled": true
}

我能找到的最接近的是“显示名称”,但这不是通用名称。一个我不想使用的选项是使所有“显示名称”与组CN相同。

TLDR; 是否可以通过Graph API访问用户组CN,如果可以,我该如何获取此数据?

-Update:我检索完所有用户组ID后,我正在使用Graph API端点getObjectsByObjectIds来命中Graph API。

1 个答案:

答案 0 :(得分:2)

CN无法通过Graph API(AAD或Microsoft Graph)访问。如果要在内部部署和云之间查找公共唯一标识符,则可以使用内部部署组SID(在云onPremisesSecurityIdentifier中)。这个属性是可过滤的。

我能想到的唯一其他选择(如果这是不可接受的,并且真的需要CN)是使用directory schema extensions,以使用额外的CN属性扩展组实体。架构扩展也是可过滤的。另请参阅最新的AD Connect版本,因为我相信它们可以创建/配置AAD云架构扩展并从本地映射。

希望这有帮助,