Registrace aplikace Microsoft Graph
Microsoft Graph umožňuje spravovat mnoho prostředků v rámci tenanta Azure AD B2C, včetně uživatelských účtů zákazníků a vlastních zásad. Psaním skriptů nebo aplikací, které volají rozhraní Microsoft Graph API, můžete automatizovat úlohy správy klientů, jako jsou:
- Migrace existujícího úložiště uživatelů do tenanta Azure AD B2C
- Nasazení vlastních zásad pomocí služby Azure Pipeline v Azure DevOps a správa vlastních klíčů zásad
- Hostování registrace uživatelů na vlastní stránce a vytváření uživatelských účtů v adresáři Azure AD B2C na pozadí
- Automatizace registrace aplikací
- Získání protokolů auditu
Následující části vám pomůžou připravit se na použití rozhraní Microsoft Graph API k automatizaci správy prostředků v adresáři Azure AD B2C.
Režimy interakce rozhraní Microsoft Graph API
Při práci s rozhraním Microsoft Graph API ke správě prostředků ve vašem tenantovi Azure AD B2C můžete použít dva způsoby komunikace:
Interaktivní – Vhodné pro úlohy po spuštění, používáte účet správce v tenantovi B2C k provádění úloh správy. Tento režim vyžaduje, aby se správce před voláním rozhraní Microsoft Graph API přihlásil pomocí svých přihlašovacích údajů.
Automatizované – pro naplánované nebo nepřetržitě spuštěné úlohy používá tato metoda účet služby, který konfigurujete s oprávněními potřebnými k provádění úloh správy. Účet služby vytvoříte v Azure AD B2C registrací aplikace, kterou vaše aplikace a skripty používají k ověřování pomocí ID aplikace (klienta) a udělení přihlašovacích údajů klienta OAuth 2.0. V tomto případě aplikace funguje jako sama o sobě volání rozhraní Microsoft Graph API, nikoli jako uživatel správce jako v dříve popsané interaktivní metodě.
Scénář automatizované interakce povolíte tak, že vytvoříte registraci aplikace uvedenou v následujících částech.
Ověřovací služba Azure AD B2C přímo podporuje tok udělení přihlašovacích údajů klienta OAuth 2.0 (aktuálně ve verzi Public Preview), ale nemůžete ho použít ke správě prostředků Azure AD B2C prostřednictvím rozhraní Microsoft Graph API. Tok přihlašovacích údajů klienta ale můžete nastavit pomocí Microsoft Entra ID a koncového bodu Microsoft Identity Platform /token
pro aplikaci ve vašem tenantovi Azure AD B2C.
Registrace aplikace pro správu
Než budou vaše skripty a aplikace moct pracovat s rozhraním Microsoft Graph API ke správě prostředků Azure AD B2C, musíte ve svém tenantovi Azure AD B2C vytvořit registraci aplikace, která uděluje požadovaná oprávnění rozhraní API.
- Přihlaste se k portálu Azure.
- Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
- Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.
- Vyberte Registrace aplikací a pak vyberte Nová registrace.
- Zadejte název aplikace. Například managementapp1.
- Vyberte pouze účty v tomto organizačním adresáři.
- V části Oprávnění zrušte zaškrtnutí políčka Udělit správci souhlas s openid a offline_access oprávnění.
- Vyberte Zaregistrovat.
- Poznamenejte si ID aplikace (klienta), které se zobrazí na stránce přehledu aplikace. Tuto hodnotu použijete v pozdějším kroku.
Udělení přístupu k rozhraní API
Aby vaše aplikace přistupovala k datům v Microsoft Graphu, udělte zaregistrované aplikaci příslušná oprávnění aplikace. Platná oprávnění vaší aplikace jsou úplná úroveň oprávnění vyplývajících z oprávnění. Pokud například chcete vytvořit, číst, aktualizovat a odstranit každého uživatele v tenantovi Azure AD B2C, přidejte oprávnění User.ReadWrite.All .
Poznámka:
Oprávnění User.ReadWrite.All nezahrnuje možnost aktualizovat hesla uživatelských účtů. Pokud vaše aplikace potřebuje aktualizovat hesla uživatelských účtů, udělte roli správce uživatele. Při udělování role správce uživatele není vyžadována role User.ReadWrite.All . Role správce uživatele zahrnuje vše potřebné ke správě uživatelů.
Aplikaci můžete udělit více oprávnění aplikace. Pokud například vaše aplikace potřebuje také spravovat skupiny ve vašem tenantovi Azure AD B2C, přidejte také oprávnění Group.ReadWrite.All .
Registrace aplikací
- V části Spravovat vyberte oprávnění rozhraní API.
- V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.
- Vyberte kartu Microsoft API a pak vyberte Microsoft Graph.
- Vyberte Oprávnění aplikace.
- Rozbalte příslušnou skupinu oprávnění a zaškrtněte políčko udělte aplikaci pro správu. Například:
- User.ReadWrite.All>: Pro scénáře migrace uživatelů nebo správy uživatelů.
- Group.ReadWrite.All>: Pro vytváření skupin, čtení a aktualizace členství ve skupinách a odstraňování skupin.
- AuditLog>AuditLog.Read.All: Pro čtení protokolů auditu adresáře.
- Policy>Policy.ReadWrite.TrustFramework: Pro scénáře kontinuální integrace/průběžného doručování (CI/CD). Například vlastní nasazení zásad pomocí Azure Pipelines.
- Vyberte Přidat oprávnění. Podle pokynů počkejte několik minut, než budete pokračovat k dalšímu kroku.
- Vyberte Udělení souhlasu správce pro (název vašeho tenanta).
- Přihlaste se pomocí účtu v tenantovi Azure AD B2C, který má přiřazenou roli Cloud Application Správa istrator, a pak vyberte Udělit souhlas správce (název vašeho tenanta).
- Vyberte Aktualizovat a pak ověřte, že je uděleno pro... zobrazí se v části Stav. Rozšíření oprávnění může trvat několik minut.
[Volitelné] Udělení role správce uživatele
Pokud vaše aplikace nebo skript potřebuje aktualizovat hesla uživatelů, musíte k aplikaci přiřadit roli správce uživatele. Role Správce uživatelů má pevně nastavenou sadu oprávnění, která vaší aplikaci udělíte.
Chcete-li přidat roli správce uživatele, postupujte takto:
- Přihlaste se k portálu Azure.
- Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
- Vyhledejte a vyberte Azure AD B2C.
- V části Spravovat vyberte Role a správci.
- Vyberte roli správce uživatele.
- Vyberte Přidat přiřazení.
- Do textového pole Vybrat zadejte název nebo ID aplikace, kterou jste zaregistrovali dříve, například managementapp1. Jakmile se zobrazí ve výsledcích hledání, vyberte aplikaci.
- Vyberte Přidat. Úplné rozšíření oprávnění může trvat několik minut.
Vytvoření tajného klíče klienta
Vaše aplikace potřebuje tajný klíč klienta k prokázání své identity při vyžádání tokenu. Pokud chcete přidat tajný klíč klienta, postupujte takto:
- V části Spravovat vyberte Tajné kódy certifikátů&.
- Vyberte Nový tajný klíč klienta.
- Do pole Popis zadejte popis tajného klíče klienta. Například klientiecret1.
- V části Konec platnosti vyberte dobu, po kterou je tajný klíč platný, a pak vyberte Přidat.
- Poznamenejte si hodnotu tajného kódu. Tuto hodnotu použijete pro konfiguraci v pozdějším kroku.
Další kroky
Teď, když jste zaregistrovali aplikaci pro správu a udělili jí požadovaná oprávnění, můžou vaše aplikace a služby (například Azure Pipelines) používat své přihlašovací údaje a oprávnění k interakci s rozhraním Microsoft Graph API.