我正在研究一个项目,以审核Azure平台上的安全性。因此,有必要迭代Azure AD组以确定直接和可传递的组成员身份。虽然存在“获取所有组”的途径,但是没有记录的“获取所有组的所有直接成员”的途径。相反,似乎只有一个电话,目的是获得单个组的直接成员。因此,必须多次调用此API,每个组一次。
鉴于AD图可以在API调用之间进行转换,是否有可能在给定的时间点获得时间上有效/一致的组成员身份集?即使并行调用每个组的API,尽管可以降低发生突变的可能性,但仍然可以避免发生突变。
我正在使用此API路由,其中{{variableName}}表示在运行时传递的变量:
https://graph.windows.net/{{tenantId}}/groups/{{adGroupId}}/$links/members?api-version=1.6
可以找到文档,例如:Operations on groups | Graph API reference
为了获得所有组成员身份,似乎有必要为每个单个AD组调用此API。基于此技术,如果AD组成员资格在对该API的调用期间发生更改,则在整个目录的给定时间点上获取准确,可靠的组成员资格图片似乎是不可行的。我想念什么吗?
是的,我们需要为每个广告组调用此API。最好的解决方案是选择适当的时间,并为每个组并行调用API。即使仅调用单个API,也无法避免这种突变。