Rychlý start: Konfigurace aplikace pro zveřejnění webového rozhraní API

V tomto rychlém startu zaregistrujete webové rozhraní API do platformy Microsoft Identity Platform a zpřístupníte ho klientským aplikacím tím, že přidáte ukázkový obor. Registrací webového rozhraní API a jeho zveřejněním prostřednictvím oborů můžete autorizovaným uživatelům a klientským aplikacím, které používají vaše rozhraní API, poskytnout přístup k jeho prostředkům na základě oprávnění.

Požadavky

Registrace webového rozhraní API

Pokud chcete poskytnout omezený přístup k prostředkům ve webovém rozhraní API, musíte rozhraní API nejprve zaregistrovat u Microsoft identity platform.

  1. Proveďte kroky v části Registrace aplikace v rychlém startu: Registrace aplikace v Microsoft identity platform.
  2. Přeskočte části Přidání identifikátoru URI přesměrování a Konfigurace nastavení platformy . Pro webové rozhraní API nemusíte konfigurovat identifikátor URI přesměrování, protože žádný uživatel není přihlášený interaktivně.
  3. Prozatím přeskočte část Přidat přihlašovací údaje . Pouze v případě, že vaše rozhraní API přistupuje k podřízené rozhraní API, by potřebovalo vlastní přihlašovací údaje, což je scénář, který tento článek neřešil.

Po registraci webového rozhraní API jste připraveni přidat obory, které může kód rozhraní API použít k poskytování podrobných oprávnění uživatelům vašeho rozhraní API.

Přidání oboru

Kód v klientské aplikaci požaduje oprávnění k provádění operací definovaných webovým rozhraním API předáním přístupového tokenu spolu s jeho požadavky chráněnému prostředku (webovému rozhraní API). Vaše webové rozhraní API pak provede požadovanou operaci pouze v případě, že přístupový token, který obdrží, obsahuje obory požadované pro operaci.

Nejprve postupujte podle těchto kroků a vytvořte ukázkový obor s názvem Employees.Read.All:

  1. Přihlaste se k webu Azure Portal.

  2. Pokud máte přístup k více tenantům, vyberte pomocí filtru Adresáře a předplatná v horní nabídce tenanta obsahujícího registraci klientské aplikace.

  3. Vyberte Azure Active Directory>Registrace aplikací a pak vyberte registraci aplikace rozhraní API.

  4. Vyberte Zveřejnit rozhraní API.

  5. Pokud jste identifikátor URI ID aplikace ještě nenakonfigurovali, vyberte Nastavit.

    Můžete použít výchozí hodnotu nebo jiný podporovaný vzor identifikátoruapi://<application-client-id> URI ID aplikace. Identifikátor URI ID aplikace funguje jako předpona oborů, na které budete v kódu rozhraní API odkazovat, a musí být globálně jedinečný.

  6. Vyberte Přidat obor:

    Zveřejnění podokna rozhraní API registrace aplikace v Azure Portal

  7. V dalším kroku zadejte atributy oboru v podokně Přidat obor . Pro účely tohoto návodu můžete použít ukázkové hodnoty nebo zadat vlastní.

    Pole Popis Příklad
    Název oboru Název oboru. Běžná konvence vytváření názvů oborů je resource.operation.constraint. Employees.Read.All
    Kdo může vyjádřit souhlas Jestli uživatelé můžou s tímto oborem souhlasit, nebo jestli se vyžaduje souhlas správce. Pro oprávnění s vyššími privilegii vyberte možnost Jen správci. Správci a uživatelé
    Zobrazovaný název souhlasu správce Krátký popis účelu oboru, který uvidí jenom správci. Read-only access to Employee records
    Popis souhlasu správce Podrobnější popis oprávnění uděleného oborem, které uvidí jenom správci. Allow the application to have read-only access to all Employee data.
    Zobrazovaný název souhlasu uživatele Stručný popis účelu oboru. Zobrazí se uživatelům jenom v případě, že nastavíte možnost Kdo může udělit souhlassprávcům a uživatelům. Read-only access to your Employee records
    Popis souhlasu uživatele Podrobnější popis oprávnění uděleného oborem Zobrazí se uživatelům jenom v případě, že nastavíte možnost Kdo může udělit souhlassprávcům a uživatelům. Allow the application to have read-only access to your Employee data.
  8. Nastavte State (Stav) na Enabled (Povoleno) a pak vyberte Add scope (Přidat obor).

  9. (Volitelné) Pokud chcete potlačit výzvy uživatelů vaší aplikace k vyjádření souhlasu s rozsahy, které jste definovali, můžete předběžně autorizovat klientskou aplikaci pro přístup k vašemu webovému rozhraní API. Předběžná autorizace pouze těch klientských aplikací, kterým důvěřujete, protože vaši uživatelé nebudou mít možnost souhlas odmítnout.

    1. V části Autorizované klientské aplikace vyberte Přidat klientskou aplikaci.
    2. Zadejte ID aplikace (klienta) klientské aplikace, kterou chcete předem autorizovat. Příklad webové aplikace, kterou jste dříve zaregistrovali.
    3. V části Autorizované obory vyberte obory, pro které chcete potlačit výzvy k vyjádření souhlasu, a pak vyberte Přidat aplikaci.

    Pokud jste postupovali podle tohoto volitelného kroku, klientská aplikace je teď předběžně autorizovaná klientská aplikace (PCA) a při přihlašování k ní se uživatelům nezobrazí výzva k vyjádření souhlasu.

Dále přidejte další ukázkový obor s názvem Employees.Write.All , se kterým můžou souhlasit jenom správci. Obory, které vyžadují souhlas správce, se obvykle používají k poskytování přístupu k operacím s vyššími oprávněními a často také klientskými aplikacemi, které běží jako back-endové služby nebo démony, které uživatele interaktivně nepřihlašují.

Pokud chcete přidat Employees.Write.All ukázkový obor, postupujte podle kroků v části Přidat obor a v podokně Přidat obor zadejte tyto hodnoty:

Pole Příklad hodnoty
Název oboru Employees.Write.All
Kdo může vyjádřit souhlas Pouze správci
Zobrazovaný název souhlasu správce Write access to Employee records
Popis souhlasu správce Allow the application to have write access to all Employee data.
Zobrazovaný název souhlasu uživatele Žádné (nechte prázdné)
Popis souhlasu uživatele Žádné (nechte prázdné)

Ověření vystavených oborů

Pokud jste úspěšně přidali oba ukázkové obory popsané v předchozích částech, zobrazí se v podokně Vystavit rozhraní API registrace aplikace webového rozhraní API, podobně jako na tomto obrázku:

Snímek obrazovky s podoknem Vystavit rozhraní API zobrazující dva vystavené obory

Jak je znázorněno na obrázku, úplný řetězec oboru je zřetězení identifikátoru URI ID aplikace vašeho webového rozhraní API a názvu oboru.

Pokud je například identifikátor URI ID aplikace vašeho webového rozhraní API a název oboru je https://contoso.com/apiEmployees.Read.All, celý rozsah je:

https://contoso.com/api/Employees.Read.All

Použití vystavených oborů

V dalším článku série nakonfigurujete registraci klientské aplikace s přístupem k webovému rozhraní API a rozsahy, které jste definovali podle kroků v tomto článku.

Jakmile se registraci klientské aplikace udělí oprávnění pro přístup k vašemu webovému rozhraní API, může Microsoft identity platform klientovi vydat přístupový token OAuth 2.0. Když klient volá webové rozhraní API, zobrazí přístupový token, jehož deklarace oboru (scp) je nastavená na oprávnění, která jste zadali v registraci aplikace klienta.

Další obory můžete podle potřeby zveřejnit později. Vezměte v úvahu, že vaše webové rozhraní API může zveřejnit více oborů přidružených k několika operacím. Váš prostředek může řídit přístup k webovému rozhraní API za běhu vyhodnocením rozsahu (scp) deklarací identity v přístupovém tokenu OAuth 2.0, který přijímá.

Další kroky

Teď, když jste webové rozhraní API zveřejnili konfigurací jeho oborů, nakonfigurujte registraci klientské aplikace s oprávněním pro přístup k oborům.