Azure AD Graph API - 一次获得组成员资格
Azure AD Graph API - Get Group Memberships in one shot
我正在从事一个审计 Azure 平台安全性的项目。因此,有必要迭代 Azure AD 组以确定直接和可传递的组成员身份。虽然有 "get all Groups" 的路线,但 "get all direct members for all Groups" 没有记录在案的路线。相反,似乎只有一个电话,旨在获得单个组的直接成员。因此,这个 API 必须多次调用,每个组调用一次。
鉴于 AD 图可以在 API 次调用之间发生变化,是否有可能在给定的时间点获得暂时的 valid/consistent 组成员资格?即使同时为每个组调用 API,仍然会保留突变的可能性,尽管会降低概率。
我正在使用这个 API 路由,其中 {{variableName}} 表示在运行时传递的变量:
https://graph.windows.net/{{tenantId}}/groups/{{adGroupId}}/$links/members?api-version=1.6
可以在此处找到相关文档:
Operations on groups | Graph API reference
为了获得所有组成员资格,似乎有必要为每个单独的 AD 组调用此 API。基于这种技术,如果 AD 组成员身份在调用此 API 期间发生变化,则似乎无法在整个目录的给定时间点获得准确、可靠的组成员身份图片.我错过了什么吗?
你说得对,我们需要为每个广告组调用此 API。最好的解决方案是选择一个合适的时间并为每个组并行调用 API。即使我们只调用单个API,我们也无法避免突变。
我正在从事一个审计 Azure 平台安全性的项目。因此,有必要迭代 Azure AD 组以确定直接和可传递的组成员身份。虽然有 "get all Groups" 的路线,但 "get all direct members for all Groups" 没有记录在案的路线。相反,似乎只有一个电话,旨在获得单个组的直接成员。因此,这个 API 必须多次调用,每个组调用一次。
鉴于 AD 图可以在 API 次调用之间发生变化,是否有可能在给定的时间点获得暂时的 valid/consistent 组成员资格?即使同时为每个组调用 API,仍然会保留突变的可能性,尽管会降低概率。
我正在使用这个 API 路由,其中 {{variableName}} 表示在运行时传递的变量:
https://graph.windows.net/{{tenantId}}/groups/{{adGroupId}}/$links/members?api-version=1.6
可以在此处找到相关文档: Operations on groups | Graph API reference
为了获得所有组成员资格,似乎有必要为每个单独的 AD 组调用此 API。基于这种技术,如果 AD 组成员身份在调用此 API 期间发生变化,则似乎无法在整个目录的给定时间点获得准确、可靠的组成员身份图片.我错过了什么吗?
你说得对,我们需要为每个广告组调用此 API。最好的解决方案是选择一个合适的时间并为每个组并行调用 API。即使我们只调用单个API,我们也无法避免突变。