Rychlý start: Konfigurace klientské aplikace pro přístup k webovému rozhraní API

  • Článek

V tomto rychlém startu poskytnete klientské aplikaci zaregistrované do platformy Microsoft Identity Platform určený, na oprávněních založený přístup k vašemu vlastnímu webovém rozhraní API. Dále klientské aplikaci poskytnete přístup k Microsoft Graphu.

Zadáním oborů webového rozhraní API v registraci klientské aplikace může klientská aplikace získat přístupový token obsahující tyto obory z platformy Microsoft Identity Platform. Ve svém kódu pak webové rozhraní API může poskytnout přístup na základě oprávnění k prostředkům na základě rozsahů nalezených v přístupovém tokenu.

Požadavky

Přidání oprávnění pro přístup k webovému rozhraní API

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Přístup k rozhraním API vyžaduje konfiguraci oborů přístupu a rolí. Pokud chcete zpřístupnit webová rozhraní API aplikace prostředků klientským aplikacím, nakonfigurujte obory přístupu a role pro rozhraní API. Pokud chcete, aby klientská aplikace přistupovala k webovému rozhraní API, nakonfigurujte oprávnění pro přístup k rozhraní API v registraci aplikace.

V prvním scénáři udělíte klientské aplikaci přístup k vlastnímu webovému rozhraní API, z nichž obě byste měli být zaregistrovaní v rámci požadavků. Pokud ještě nemáte klientskou aplikaci i webové rozhraní API zaregistrované, proveďte kroky uvedené v dvou článcích Požadavky .

Tento diagram znázorňuje, jak obě registrace aplikací vzájemně souvisejí. V této části přidáte oprávnění k registraci klientské aplikace.

Line diagram showing a web API with exposed scopes on the right and a client app on the left with those scopes selected as permissions

Jakmile zaregistrujete klientskou aplikaci i webové rozhraní API a rozhraní API vytvoříte tak, že vytvoříte obory, můžete nakonfigurovat oprávnění klienta k rozhraní API pomocí následujícího postupu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do tenanta, který obsahuje registraci aplikace z nabídky Adresáře a předplatná.

  3. Přejděte na Aplikace> identit>Registrace aplikací a pak vyberte klientskou aplikaci (ne webové rozhraní API).

  4. Vyberte oprávnění>rozhraní API Přidat oprávnění>Moje rozhraní API.

  5. Vyberte webové rozhraní API, které jste zaregistrovali jako součást požadavků.

    Delegovaná oprávnění jsou ve výchozím nastavení vybraná. Delegovaná oprávnění jsou vhodná pro klientské aplikace, které přistupují k webovému rozhraní API jako přihlášený uživatel a jejichž přístup by měl být omezen na oprávnění, která vyberete v dalším kroku. Pro tento příklad ponechte vybraná delegovaná oprávnění .

    Oprávnění aplikace jsou určená pro aplikace typu služby nebo démona, které potřebují přistupovat k webovému rozhraní API jako samy o sobě, bez zásahu uživatele k přihlášení nebo souhlasu. Pokud jste pro webové rozhraní API nedefinovali role aplikací, tato možnost je zakázaná.

  6. V části Vybrat oprávnění rozbalte prostředek, jehož obory jste definovali pro webové rozhraní API, a vyberte oprávnění, která má klientská aplikace mít jménem přihlášeného uživatele.

    Pokud jste použili ukázkové názvy oborů zadané v předchozím rychlém startu, měli byste vidět Employees.Read.All a Employees.Write.All. Vyberte Employees.Read.All nebo jiné oprávnění, která jste mohli vytvořit při dokončování požadavků.

  7. Výběrem možnosti Přidat oprávnění dokončete proces.

Po přidání oprávnění k rozhraní API by se měla zobrazit vybraná oprávnění v části Nakonfigurovaná oprávnění. Následující obrázek ukazuje příklad Employees.Read.All delegovaná oprávnění přidaná do registrace klientské aplikace.

Configured permissions pane in the Azure portal showing the newly added permission

Můžete si také všimnout oprávnění User.Read pro rozhraní Microsoft Graph API. Toto oprávnění se přidá automaticky při registraci aplikace na webu Azure Portal.

Přidání oprávnění pro přístup k Microsoft Graph

Kromě přístupu k vlastnímu webovému rozhraní API jménem přihlášeného uživatele může vaše aplikace také potřebovat přístup k datům uživatele (nebo jiných) uložených v Microsoft Graphu nebo jejich úpravu. Nebo můžete mít aplikaci služby nebo démona, která potřebuje přístup k Microsoft Graphu jako samo o sobě a provádět operace bez zásahu uživatele.

Delegovaná oprávnění k Microsoft Graphu

Nakonfigurujte delegovaná oprávnění k Microsoft Graphu, aby klientská aplikace mohla provádět operace jménem přihlášeného uživatele, například čtení e-mailu nebo úpravy profilu. Ve výchozím nastavení se uživatelům vaší klientské aplikace zobrazí výzva, když se přihlásí, aby udělili souhlas s delegovanými oprávněními, která jste pro ni nakonfigurovali.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do tenanta, který obsahuje registraci aplikace z nabídky Adresáře a předplatná.

  3. Přejděte do aplikace> identit>Registrace aplikací a vyberte klientskou aplikaci.

  4. Výběr oprávnění>rozhraní API – Přidání oprávnění>v Microsoft Graphu

  5. Vyberte Delegovaná oprávnění. Microsoft Graph zveřejňuje mnoho oprávnění, přičemž nejčastěji se zobrazuje v horní části seznamu.

  6. V části Vybrat oprávnění vyberte následující oprávnění:

    Oprávnění Popis
    email Zobrazení e-mailové adresy uživatelů
    offline_access Zachování přístupu k datům, ke kterým jste udělili přístup
    openid Přihlášení uživatelů
    profile Zobrazení základního profilu uživatele

  7. Výběrem možnosti Přidat oprávnění dokončete proces.

Pokaždé, když nakonfigurujete oprávnění, zobrazí se uživatelům vaší aplikace výzva k přihlášení k vyjádření souhlasu, aby mohla vaše aplikace přistupovat k rozhraní API prostředků jejich jménem.

Jako správce můžete také udělit souhlas jménem všech uživatelů, aby k tomu nebyli vyzváni. Správa souhlas probíráme dále v Další informace o oprávněních rozhraní API a části souhlasu správce tohoto článku

Oprávnění aplikace k Microsoft Graphu

Nakonfigurujte oprávnění aplikace pro aplikaci, která se musí ověřit jako sama o sobě bez zásahu uživatele nebo souhlasu. Oprávnění aplikací se obvykle používají službami na pozadí nebo aplikacemi démona, které přistupují k rozhraní API bezobslužným způsobem, a webovými rozhraními API, která přistupují k jinému (podřízenému) rozhraní API.

V následujících krocích udělíte oprávnění pro oprávnění Files.Read.All v Microsoft Graphu jako příklad.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do tenanta, který obsahuje registraci aplikace z nabídky Adresáře a předplatná.

  3. Přejděte do aplikace> identit>Registrace aplikací a vyberte klientskou aplikaci.

  4. Vyberte oprávnění>rozhraní API– Přidat oprávnění> aplikace Microsoft Graph.>

  5. Všechna oprávnění vystavená službou Microsoft Graph se zobrazují v části Vybrat oprávnění.

  6. Vyberte oprávnění nebo oprávnění, která chcete aplikaci udělit. Můžete mít například aplikaci démona, která prohledává soubory ve vaší organizaci a upozorní na konkrétní typ nebo název souboru.

    V části Vybrat oprávnění rozbalte položku Soubory a pak vyberte oprávnění Files.Read.All.

  7. Vyberte Přidat oprávnění.

Některá oprávnění, například oprávnění Files.Read.All v Microsoft Graphu, vyžadují souhlas správce. Souhlas správce udělíte tak, že vyberete tlačítko Udělení souhlasu správce, které je popsáno dále v části s tlačítkem souhlasu Správa.

Konfigurace přihlašovacích údajů klienta

Aplikace, které používají oprávnění aplikací, se ověřují sami pomocí vlastních přihlašovacích údajů, aniž by vyžadovaly interakci uživatele. Než bude vaše aplikace (nebo rozhraní API) mít přístup k Microsoft Graphu, vlastnímu webovému rozhraní API nebo jinému rozhraní API pomocí oprávnění aplikace, musíte nakonfigurovat přihlašovací údaje klientské aplikace.

Další informace o konfiguraci přihlašovacích údajů aplikace najdete v části Přidání přihlašovacích údajů rychlého startu : Registrace aplikace na platformě Microsoft Identity Platform.

Podokno oprávnění rozhraní API registrace aplikace obsahuje tabulku Nakonfigurovaná oprávnění a může také obsahovat tabulku s oprávněními Jiné. Tabulky i tlačítko souhlasu Správa jsou popsány v následujících částech.

Nakonfigurovaná oprávnění

Tabulka Nakonfigurovaná oprávnění v podokně oprávnění rozhraní API zobrazuje seznam oprávnění, která vaše aplikace vyžaduje pro základní operaci – seznam požadovaných přístupů k prostředkům (RRA). Uživatelé nebo jejich správci budou muset před použitím aplikace udělit souhlas s těmito oprávněními. Další volitelná oprávnění je možné vyžádat později za běhu (pomocí dynamického souhlasu).

Toto je minimální seznam oprávnění, která budou uživatelé muset udělit souhlas s vaší aplikací. Mohlo by existovat více, ale ty budou vždy potřeba. Zabezpečení a pomoc uživatelům a správcům při používání vaší aplikace vám nikdy nepožádá nic, co nepotřebujete.

Oprávnění, která se zobrazí v této tabulce, můžete přidat nebo odebrat pomocí kroků uvedených výše nebo z jiných udělených oprávnění (popsaných v další části). Jako správce můžete udělit souhlas správce pro úplnou sadu oprávnění rozhraní API, která se zobrazí v tabulce, a odvolat souhlas pro jednotlivá oprávnění.

Udělená další oprávnění

V podokně oprávnění rozhraní API se také může zobrazit tabulka s názvem Další oprávnění udělená pro {vašeho tenanta}. Ostatní oprávnění udělená pro tabulku {your tenant} zobrazuje oprávnění udělená pro celého tenanta, která nebyla explicitně nakonfigurována pro objekt aplikace. Tato oprávnění byla dynamicky požadována a odsouhlasována správcem jménem všech uživatelů. Tato část se zobrazí jenom v případě, že existuje alespoň jedno oprávnění, které platí.

Do tabulky Nakonfigurovaná oprávnění můžete přidat úplnou sadu oprávnění rozhraní API nebo jednotlivá oprávnění, která se zobrazí v této tabulce. Jako správce můžete odvolat souhlas správce pro rozhraní API nebo jednotlivá oprávnění v této části.

Tlačítko Udělit souhlas správce pro {váš tenant} umožňuje správci udělit souhlas správce s oprávněními nakonfigurovaným pro aplikaci. Když tlačítko vyberete, zobrazí se dialogové okno s žádostí o potvrzení akce souhlasu.

Grant admin consent button highlighted in the Configured permissions pane in the Azure portal

Po udělení souhlasu se oprávnění, která vyžaduje souhlas správce, zobrazí jako udělený souhlas:

Configure permissions table in Azure portal showing admin consent granted for the Files.Read.All permission

Tlačítko Udělit souhlas správce je zakázané , pokud nejste správcem nebo pokud pro aplikaci nebyla nakonfigurována žádná oprávnění. Pokud máte udělená oprávnění, která ještě nejsou nakonfigurovaná, po kliknutí na tlačítko pro vyjádření souhlasu správce se zobrazí výzva ke konfiguraci těchto oprávnění. Můžete je přidat do nakonfigurovaných oprávnění nebo je odebrat.

Další kroky

V dalším rychlém startu v řadě se dozvíte, jak nakonfigurovat, které typy účtů mají přístup k vaší aplikaci. Můžete například chtít omezit přístup jenom na uživatele ve vaší organizaci (s jedním tenantem) nebo povolit uživatelům v jiných tenantech Microsoft Entra (více tenantů) a uživatelům s osobními účty Microsoft (MSA).

Úprava účtů podporovaných aplikací