مشاركة عبر

تكوين إدارة بيانات الاعتماد - Microsoft Graph API

  • مقالة

ينطبق على: جميع مستويات إدارة واجهة برمجة التطبيقات

ترشدك هذه المقالة خلال الخطوات المطلوبة لإنشاء اتصال مدار بواجهة برمجة تطبيقات Microsoft Graph داخل Azure API Management. يتم استخدام نوع منح رمز التخويل في هذا المثال.

‏‫ستتعلم كيفية:

  • إنشاء تطبيق Microsoft Entra
  • إنشاء موفر بيانات اعتماد وتكوينه في APIM
  • تكوين اتصال
  • إنشاء واجهة برمجة تطبيقات Microsoft Graph في APIM وتكوين نهج
  • اختبار واجهة برمجة تطبيقات Microsoft Graph في APIM

المتطلبات الأساسية

  • الوصول إلى مستأجر Microsoft Entra حيث لديك أذونات لإنشاء تسجيل تطبيق ومنح موافقة المسؤول على أذونات التطبيق. معرفة المزيد

    إذا كنت ترغب في إنشاء مستأجر مطور خاص بك، يمكنك التسجيل في برنامج مطور Microsoft 365.

  • مثيل APIM قيد التشغيل. إذا كنت بحاجة إلى ذلك، قم بإنشاء مثيل إدارة واجهة برمجة تطبيقات Azure.

  • تمكين هوية مدارة معينة من قبل النظام لإدارة واجهة برمجة التطبيقات في مثيل APIM.

الخطوة 1: إنشاء تطبيق Microsoft Entra

أنشئ تطبيق Microsoft Entra لواجهة برمجة التطبيقات وامنحه الأذونات المناسبة للطلبات التي تريد الاتصال بها.

  1. سجل الدخول إلى مدخل Microsoft Azure باستخدام حساب بأذونات كافية في المستأجر.

  2. ضمن خدمات Azure، ابحث عن معرف Microsoft Entra.

  3. في القائمة اليسرى، حدد App registrations، ثم حدد + New registration.

  4. في صفحة تسجيل تطبيق ، أدخل إعدادات تسجيل التطبيق:

    1. في الاسم، أدخل اسما ذا معنى سيتم عرضه لمستخدمي التطبيق، مثل MicrosoftGraphAuth.

    2. في أنواع الحسابات المدعومة، حدد خيارا يناسب السيناريو الخاص بك، على سبيل المثال، الحسابات في هذا الدليل التنظيمي فقط (مستأجر واحد) .

    3. قم بتعيين Redirect URI إلى Web، وأدخل https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>، واستبدل اسم خدمة APIM حيث ستقوم بتكوين موفر بيانات الاعتماد.

    4. حدد تسجيل.

      لقطة شاشة لإنشاء تسجيل تطبيق Microsoft Entra في المدخل.

  5. في القائمة اليسرى، حدد أذونات واجهة برمجة التطبيقات، ثم حدد + إضافة إذن. لقطة شاشة لإضافة إذن واجهة برمجة التطبيقات في المدخل.

    1. حدد Microsoft Graph، ثم حدد الأذونات المفوضة.

      إشعار

      تأكد من إضافة الإذن User.Read مع النوع Delegated بالفعل.

    2. اكتب Team، وقم بتوسيع خيارات الفريق ، ثم حدد Team.ReadBasic.All. حدد إضافة أذونات.
    3. بعد ذلك، حدد Grant admin consent for Default Directory. تتغير حالة الأذونات إلى منح للدليل الافتراضي.

  6. في القائمة اليسرى، حدد Overview. في صفحة نظرة عامة ، ابحث عن قيمة معرف التطبيق (العميل) وسجلها للاستخدام في الخطوة 2.

  7. في القائمة اليسرى، حدد Certificates & secrets، ثم حدد + New client secret.
    لقطة شاشة لإنشاء سر تطبيق في المدخل.

    1. أدخِل الوصف.
    2. حدد خيارا ل Expires.
    3. حدد إضافة.
    4. انسخ قيمة سر العميل قبل مغادرة الصفحة. ستحتاج إليه في الخطوة 2.

الخطوة 2: تكوين موفر بيانات اعتماد في APIM

  1. سجل الدخول إلى المدخل وانتقل إلى مثيل APIM.

  2. في القائمة اليسرى، حدد إدارة بيانات الاعتماد، ثم حدد + إنشاء.
    لقطة شاشة لإنشاء بيانات اعتماد واجهة برمجة التطبيقات في المدخل.

  3. في صفحة Create credential provider ، أدخل الإعدادات التالية، وحدد Create:

    الإعدادات القيمة‬
    اسم موفر بيانات الاعتماد اسم من اختيارك، مثل MicrosoftEntraID-01
    موفر الهوية حدد Azure Active Directory v1
    نوع المنحة جدد Authorization code
    عنوان URL للتخويل اختياري لموفر هوية Microsoft Entra. القيمة الافتراضية هي https://login.microsoftonline.com.
    معرف العميل الصق القيمة التي نسختها سابقاً من سجل التطبيق
    سر العميل الصق القيمة التي نسختها سابقاً من سجل التطبيق
    عنوان URL للمورد https://graph.microsoft.com
    معرِّف المستأجر اختياري لموفر هوية Microsoft Entra. الافتراضي هو Common.
    نطاقات اختياري لموفر هوية Microsoft Entra. تم تكوينه تلقائيا من أذونات واجهة برمجة التطبيقات لتطبيق Microsoft Entra.

الخطوة 3: تكوين اتصال

في علامة التبويب الاتصال، أكمل الخطوات لاتصالك بالموفر.

إشعار

عند تكوين اتصال، تقوم APIM بشكل افتراضي بإعداد نهج وصول يتيح الوصول بواسطة الهوية المدارة المعينة من قبل أنظمة المثيل. هذا الوصول كاف لهذا المثال. يمكنك إضافة نهج وصول إضافية حسب الحاجة.

  1. أدخل اسم الاتصال، ثم حدد حفظ.
  2. ضمن الخطوة 2: تسجيل الدخول إلى اتصالك (لنوع منح رمز التخويل)، حدد الارتباط لتسجيل الدخول إلى موفر بيانات الاعتماد. أكمل الخطوات هناك لتخويل الوصول، والعودة إلى APIM.
  3. ضمن الخطوة 3: تحديد من سيكون لديه حق الوصول إلى هذا الاتصال (نهج الوصول)، يتم سرد عضو الهوية المدارة. إضافة أعضاء آخرين اختيارية، اعتمادا على السيناريو الخاص بك.
  4. حدد إكمال.

يظهر الاتصال الجديد في قائمة الاتصالات، ويعرض حالة الاتصال. إذا كنت تريد إنشاء اتصال آخر لموفر بيانات الاعتماد، فأكمل الخطوات السابقة.

تلميح

استخدم المدخل لإضافة اتصالات إلى موفر بيانات اعتماد أو تحديثها أو حذفها في أي وقت. لمزيد من المعلومات، راجع تكوين اتصالات متعددة.

إشعار

إذا قمت بتحديث أذونات Microsoft Graph بعد هذه الخطوة، يتعين عليك تكرار الخطوتين 2 و3.

الخطوة 4: إنشاء واجهة برمجة تطبيقات Microsoft Graph في APIM وتكوين نهج

  1. سجل الدخول إلى المدخل وانتقل إلى مثيل APIM.

  2. في القائمة اليسرى، حدد واجهات برمجة التطبيقات > + إضافة واجهة برمجة التطبيقات.

  3. حدد HTTP وأدخل الإعدادات التالية. وبعد ذلك، حدد إنشاء.

    الإعداد القيمة
    ‏‫اسم العرض‬ msgraph
    عنوان URL لخدمة ويب https://graph.microsoft.com/v1.0
    لاحقة عنوان URL لواجهة برمجة التطبيقات msgraph

  4. انتقل إلى واجهة برمجة التطبيقات التي تم إنشاؤها حديثاً وحدد Add Operatio. أدخل الإعدادات التالية وحدد Save.

    الإعداد القيمة
    ‏‫اسم العرض‬ الحصول على ملف تعريف
    عنوان URL ل GET /أنا

  5. اتبع الخطوات السابقة لإضافة عملية أخرى بالإعدادات التالية.

    الإعداد القيمة
    ‏‫اسم العرض‬ getJoinedTeams
    عنوان URL ل GET /me/joinedTeams

  6. حدد «جميع العمليات». في القسم Inbound processing، حدد الأيقونة (</>) (محرر التعليمات البرمجية).

  7. انسخ القصاصة البرمجية التالية والصقها. قم بتحديث النهج get-authorization-context بأسماء موفر بيانات الاعتماد والاتصال الذي قمت بتكوينه في الخطوات السابقة، وحدد حفظ.

    • استبدل اسم موفر بيانات الاعتماد كقيمة provider-id
    • استبدل اسم الاتصال الخاص بك كقيمة authorization-id
    <policies>
    <inbound>
        <base />
        <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
       <set-header name="Authorization" exists-action="override">
           <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
       </set-header>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

يتكون تعريف النهج السابق من جزأين:

  • يجلب نهج get-authorization-context رمزا مميزا للتخويل عن طريق الرجوع إلى موفر بيانات الاعتماد والاتصال اللذين تم إنشاؤها مسبقا.
  • ينشئ نهج رأس المجموعة عنوان HTTP مع رمز الوصول الذي تم إحضاره.

الخطوة 5: اختبار واجهة برمجة التطبيقات

  1. في علامة التبويب اختبار ، حدد عملية واحدة قمت بتكوينها.

  2. حدد إرسال.

    لقطة شاشة لاختبار واجهة برمجة تطبيقات Graph في المدخل.

    ترجع الاستجابة الناجحة بيانات المستخدم من Microsoft Graph.

المحتوى ذو الصلة

  • تعرف على المزيد حول نهج المصادقة والتخويل في Azure API Management.
  • تعرف على المزيد حول النطاقات والأذونات في معرف Microsoft Entra.