Příprava externího tenanta na volání rozhraní API ve webové aplikaci Node.js

V tomto článku připravíte externího tenanta na autorizaci. Tento článek je první částí čtyřdílného průvodce.

Požadavek

• Dokončete kroky v kurzu: Příprava externího tenanta na přihlášení uživatelů do webové aplikace Node.js. Po dokončení tohoto kurzu zaregistrujete aplikaci v tenantovi zákazníka a máte webovou aplikaci, která přihlašuje uživatele. Tuto webovou aplikaci označujeme jako klientskou aplikaci. Tuto aplikaci rozšíříte tak, aby volala chráněné webové rozhraní API.

• Dokončete kroky v kurzu: Zabezpečení webového rozhraní API ASP.NET zaregistrovaného v externím tenantovi. Po dokončení tohoto kurzu zaregistrujete webové rozhraní API v tenantovi zákazníka, které zpřístupňuje oprávnění rozhraní API a publikuje role aplikací. Máte také zabezpečené webové rozhraní API. Toto webové rozhraní API voláte z klientské webové aplikace.

Konfigurace deklarace identity tokenu idtypu [volitelné]

Tokeny vrácené identitou Microsoftu se uchovávají menší, aby klienti, kteří je požadují, zajistili optimální výkon. V důsledku toho se ve výchozím nastavení v tokenu nezobrazuje několik deklarací identity a musí být požádáno konkrétně pro jednotlivé aplikace. Pro tuto aplikaci zahrnete volitelnou deklaraci identity idtypu , která webovému rozhraní API pomůže určit, jestli se jedná o token aplikace nebo token aplikace a token uživatele. I když můžete použít kombinaci deklarací identity scp a rolí pro stejný účel, použití deklarace identity idtypu je nejjednodušší způsob, jak token aplikace a token aplikace+uživatel oddělit. Například hodnota této deklarace identity je aplikace , když je token pouze pro aplikaci.

Pomocí následujících kroků nakonfigurujte volitelnou deklaraci identity idtypu :

1. Na stránce Registrace aplikací, pro kterou chcete nakonfigurovat volitelnou deklaraci identity, například ciam-client-app, otevřete její stránku Přehled.

2. V části Spravovat vyberte konfiguraci tokenu.

3. Vyberte Přidat volitelnou deklaraci identity.

4. V části Typ tokenu zvolte Access.

5. Vyberte volitelný idtyp deklarace identity.

6. Výběrem možnosti Přidat uložte změny.

Udělení oprávnění rozhraní API webové aplikaci

Z požadavků jste zaregistrovali klientskou aplikaci v tenantovi zákazníka. Zaregistrovali jste také aplikaci webového rozhraní API ve svých zákaznících. Teď potřebujete udělit oprávnění rozhraní API klientské aplikaci:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

2. V části Spravovat vyberte oprávnění rozhraní API.

3. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.

4. Vyberte rozhraní API, která moje organizace používá, kartu.

5. V seznamu rozhraní API vyberte rozhraní API, jako je ciam-ToDoList-api.

6. Vyberte možnost Delegovaná oprávnění .

7. V seznamu oprávnění vyberte ToDoList.Read, ToDoList.ReadWrite (v případě potřeby použijte vyhledávací pole).

8. Vyberte tlačítko Přidat oprávnění.

9. V tomto okamžiku jste správně přiřadili oprávnění. Vzhledem k tomu, že se jedná o tenanta zákazníka, nemůžou uživatelé uživatele sami vyjádřit souhlas s těmito oprávněními. Abyste to vyřešili, musíte jako správce udělit souhlas s těmito oprávněními jménem všech uživatelů v tenantovi:

   1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.

   2. Vyberte Aktualizovat a ověřte, že se pro <název> vašeho tenanta zobrazuje v části Stav pro obě oprávnění.

10. V seznamu Konfigurovaná oprávnění vyberte oprávnění ToDoList.Read a ToDoList.ReadWrite, a pak zkopírujte úplný identifikátor URI oprávnění pro pozdější použití. Úplný identifikátor URI oprávnění vypadá podobně jako api://{clientId}/{ToDoList.Read}api://{clientId}/{ToDoList.ReadWrite}nebo .

Další krok

Dále se dozvíte, jak připravit webovou aplikaci a rozhraní API.

Zahájení vytváření webové aplikace a rozhraní API