Practice Assessment for Exam AZ-204: Developing Solutions for Microsoft Azure – 04
Phân tích yêu cầu
- Tình huống:
- Ứng dụng App1 được đăng ký trong Microsoft Entra ID.
- App1 gọi một Web API, sau đó Web API này tiếp tục gọi Microsoft Graph.
- Yêu cầu: Đảm bảo danh tính của người dùng đã đăng nhập được ủy quyền qua chuỗi yêu cầu.
Phân tích các lựa chọn
| Lựa chọn | Hỗ trợ ủy quyền danh tính qua request chain? | Lý do |
|---|---|---|
| ❌ Authorization Code | ❌ Không | Dùng để xác thực người dùng, nhưng không hỗ trợ ủy quyền danh tính qua nhiều request. |
| ✅ On-Behalf-Of (OBO) | ✅ Có | Chính xác – Được thiết kế để truyền danh tính của người dùng qua chuỗi request (App → API → Graph API). |
| ❌ Client Credentials | ❌ Không | Được dùng khi ứng dụng gọi API mà không có người dùng đăng nhập, sử dụng ứng dụng như một thực thể chứ không phải danh tính của người dùng. |
| ❌ Implicit | ❌ Không | Cơ chế chuyển hướng trên trình duyệt, không phù hợp để ủy quyền danh tính qua nhiều request. |
Bổ sung thông tin từ tài liệu chính thức
Mục này kiểm tra kiến thức của ứng viên về truy cập dữ liệu người dùng từ Microsoft Graph, là một phần của xác thực và ủy quyền người dùng.
- OAuth 2.0 On-Behalf-Of flow (OBO) được sử dụng khi một ứng dụng gọi một dịch vụ hoặc Web API, sau đó API này tiếp tục gọi một dịch vụ khác.
- OBO giúp truyền danh tính và quyền hạn của người dùng thông qua chuỗi request.
- Client Credentials chỉ phù hợp khi ứng dụng hoạt động thay mặt chính nó, không thay mặt người dùng.
📌 Nguồn tham khảo:
Kết luận
✅ Đáp án chính xác:
On-Behalf-Of (OBO)
🚀 Lý do:
- Cho phép truyền danh tính và quyền hạn của người dùng qua nhiều request.
- Được thiết kế để hỗ trợ ứng dụng gọi API, API gọi dịch vụ khác mà vẫn giữ danh tính của người dùng.
- Các lựa chọn khác không phù hợp vì chúng không hỗ trợ truyền danh tính qua request chain.
👉 Chọn “On-Behalf-Of” là đáp án đúng nhất! ✅
