تسجيل تطبيق Microsoft Graph
يتيح لك Microsoft Graph إدارة العديد من الموارد داخل مستأجر Azure AD B2C، بما في ذلك حسابات مستخدم العملاء والنُهج المخصصة. من خلال كتابة البرامج النصية أو التطبيقات التي تستدعي Microsoft Graph API، يمكنك أتمتة مهام إدارة المستأجر مثل:
- ترحيل مخزن مستخدم موجود إلى مستأجر Azure AD B2C
- توزيع النُهج المخصصة باستخدام Azure Pipeline في Azure DevOps، وإدارة مفاتيح النهج المخصص
- استضافة تسجيل المستخدم على صفحتك الخاصة، وإنشاء حسابات مستخدمين في دليل Azure AD B2C في الخلفية
- أتمتة تسجيل التطبيق
- الحصول على سجلات التدقيق
تساعدك الأقسام التالية في الاستعداد لاستخدام Microsoft Graph API لأتمتة إدارة الموارد في دليل Azure AD B2C.
أوضاع تفاعل واجهة Microsoft Graph API
هناك وضعان للتواصل يمكنك استخدامهما عند العمل مع واجهة Microsoft Graph API لإدارة الموارد في مستأجر Azure AD B2C:
تفاعلي - مناسب لمهام التشغيل مرة واحدة، يمكنك استخدام حساب مسؤول في مستأجر B2C لأداء مهام الإدارة. يتطلب هذا الوضع أن يقوم المسؤول بتسجيل الدخول باستخدام بيانات الاعتماد الخاصة به قبل استدعاء واجهة Microsoft Graph API.
تلقائي - للمهام المجدولة أو التي يتم تشغيلها بشكل مستمر، تستخدم هذه الطريقة حساب خدمة تقوم بتكوينه بالأذونات المطلوبة لأداء مهام الإدارة. يمكنك إنشاء "حساب الخدمة" في Azure AD B2C عن طريق تسجيل تطبيق تستخدمه التطبيقات والبرامج النصية لديك للمصادقة باستخدام معرف التطبيق (العميل) ومنح بيانات اعتماد عميل OAuth 2.0. في هذه الحالة، يعمل التطبيق نفسه على استدعاء واجهة Microsoft Graph API، وليس المستخدم المسؤول كما في الطريقة التفاعلية الموصوفة سابقًا.
يمكنك تمكين سيناريو التفاعل التلقائي عن طريق إنشاء تسجيل التطبيق الموضح في الأقسام التالية.
تدعم خدمة مصادقة Azure AD B2C بشكل مباشر تدفق منح بيانات اعتماد عميل OAuth 2.0 (حاليًا في المعاينة العامة)، إلّا أنه لا يمكنك استخدامه لإدارة موارد Azure AD B2C عبر Microsoft Graph API. ومع ذلك، يمكنك إعداد تدفق بيانات اعتماد العميل باستخدام معرف Microsoft Entra ونقطة النهاية النظام الأساسي للهويات في Microsoft /token لتطبيق في مستأجر Azure AD B2C.
تسجيل تطبيق الإدارة
قبل أن تتمكن البرامج النصية والتطبيقات الخاصة بك من التفاعل مع واجهة Microsoft Graph API لإدارة موارد Azure AD B2C، تحتاج إلى إنشاء تسجيل تطبيق في مستأجر Azure AD B2C الذي يمنح أذونات واجهة برمجة التطبيقات المطلوبة.
- سجل دخولك إلى مدخل Azure.
- إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد رمز الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة Directories + subscriptions.
- في مدخل Microsoft Azure، ابحث عن Azure AD B2C وحددها.
- حدد App registrations، ثم حدد New registration.
- أدخل Name للتطبيق. على سبيل المثال، managementapp1.
- حدد الحسابات في هذا الدليل التنظيمي فقط.
- ضمن Permissions، ألغ تحديد خانة الاختيار Grant admin consent to openid and offline_access permissions .
- حدد السجل.
- سجل معرّف التطبيق (العميل) الذي يظهر في صفحة نظرة عامة على التطبيق. يمكنك استخدام هذه القيمة في خطوة لاحقة.
منح الوصول إلى واجهة برمجة التطبيقات
لكي يتمكن تطبيقك من الوصول إلى البيانات في Microsoft Graph، امنح التطبيق المسجل أذونات التطبيق ذات الصلة. الأذونات الفعالة للتطبيق الخاص بك هي المستوى الكامل للامتيازات التي ينطوي عليها الإذن. على سبيل المثال، لإنشاء وقراءة وتحديث وحذف كل مستخدم في مستأجر Azure AD B2C، أضف الإذن User.ReadWrite.All.
إشعار
لا يتضمن الإذن User.ReadWrite.All القدرة على تحديث كلمات مرور حساب المستخدم. إذا احتاج تطبيقك إلى تحديث كلمات مرور حساب المستخدم، فامنح المستخدم دور المسؤول. عند منح دور مسؤول المستخدم، يكون الإذن User.ReadWrite.All غير مطلوب. يتضمن دور مسؤول المستخدم كل ما يلزم لإدارة المستخدمين.
يمكنك منح تطبيقك أذونات تطبيق متعددة. على سبيل المثال، إذا كان التطبيق الخاص بك يحتاج أيضًا إلى إدارة المجموعات في مستأجر Azure AD B2C، فأضف الإذن Group.ReadWrite.All أيضًا.
عمليات تسجيل التطبيق
- ضمن خانة الإدارة، اختر الأذونات الخاصة بواجهة برمجة التطبيقات.
- ضمن أذونات مكونة، حدد إضافة إذن.
- حدد علامة التبويب واجهات برمجة التطبيقات لـ Microsoft، ثم حدد Microsoft Graph.
- حدد أذونات التطبيق.
- بادر بتوسيع مجموعة الأذونات المناسبة وحدد خانة الاختيار الخاصة بإذن منح تطبيق الإدارة خاصتك. على سبيل المثال:
- المستخدم>User.ReadWrite.All: لترحيل المستخدم أو سيناريوهات إدارة المستخدم.
- المجموعة>Group.ReadWrite.All: لإنشاء مجموعات، قم بقراءة وتحديث عضويات المجموعة وحذف المجموعات.
- سجل التدقيق>AuditLog.Read.All: لقراءة سجلات التدقيق الدليل.
- نهج>Policy.ReadWrite.TrustFramework: لسيناريوهات التكامل المستمر/ التسليم المستمر (CI/CD). على سبيل المثال، توزيع النهج المخصص مع Azure Pipelines.
- حدد إضافة أذونات. حسب التوجيهات، انتظر بضع دقائق قبل الانتقال إلى الخطوة التالية.
- حدد منح موافقة المسؤول لـ(اسم المستأجر الخاص بك).
- سجل الدخول باستخدام حساب في مستأجر Azure AD B2C الذي تم تعيين دور مسؤول istrator للتطبيق السحابي إليه، ثم حدد Grant admin consent for (your tenant name).
- حدد Refresh، ثم تحقق من أن "Granted for ..." يظهر ضمن الحالة. قد يستغرق نشر الأذونات بضع دقائق.
[اختياري] منح دور مسؤول المستخدم
إذا كان التطبيق أو البرنامج النصي لديك يحتاج إلى تحديث كلمات مرور المستخدمين، فأنت بحاجة إلى تعيين دور مسؤول المستخدم لتطبيقك. يحتوي دور مسؤول المستخدم على مجموعة ثابتة من الأذونات التي تمنحها لتطبيقك.
لإضافة دور مسؤول المستخدم اتبع الخطوات التالية:
- سجل دخولك إلى مدخل Azure.
- إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد رمز الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة Directories + subscriptions.
- ابحث عن Azure AD B2C وحدده.
- ضمن إدارة، حدد الأدوار والمسؤولين.
- حدّد دور مسؤول المستخدم.
- حدد "إضافة التعيينات".
- في مربع النص Select، أدخل الاسم أو معرف التطبيق الذي قمت بتسجيله سابقًا، على سبيل المثال، managerapp1. عندما يظهر في نتائج البحث، حدّد التطبيق الخاص بك.
- حدد إضافة. قد يستغرق نشر الأذونات بالكامل بضع دقائق.
إنشاء سر العميل
يحتاج التطبيق إلى سر العميل لإثبات هويته عند طلب رمز مميز. لإضافة سر العميل، اتبع هذه الخطوات:
- ضمن إدارة، حدد الشهادات& البيانات السرية .
- حدد سر عميل جديد.
- أدخل وصفاً لسر العميل في خانة Description . ليكن clientsecret1 على سبيل المثال.
- من Expires ، حدد مدة صلاحية السر، ثم حدد Add .
- سجّل قيمةالسر. يمكنك استخدام هذه القيمة للتكوين في خطوة لاحقة.
الخطوات التالية
الآن بعد أن سجلت تطبيق الإدارة ومنحته الأذونات المطلوبة، يمكن لتطبيقاتك وخدماتك (على سبيل المثال، Azure Pipelines) استخدام بيانات الاعتماد والأذونات للتفاعل مع واجهة Microsoft Graph API.