Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto průvodci postupy zaregistrujete webové rozhraní API na platformě Microsoft Identity Platform a zpřístupníte ho klientským aplikacím přidáním oboru. Registrací webového rozhraní API a jejím zveřejněním prostřednictvím oborů přiřazováním role vlastníka a aplikace můžete poskytnout přístup na základě oprávnění k jeho prostředkům autorizovaným uživatelům a klientským aplikacím, které přistupují k vašemu rozhraní API.
Požadavky
- Účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si účet zdarma.
- Aplikace zaregistrovaná v Centru pro správu Microsoft Entra. Pokud ho nemáte, zaregistrujte si aplikaci .
Registrace webového rozhraní API
Přístup k rozhraním API vyžaduje konfiguraci oborů přístupu a rolí. Pokud chcete zpřístupnit webová rozhraní API aplikace prostředků klientským aplikacím, nakonfigurujte obory přístupu a role pro rozhraní API. Pokud chcete, aby klientská aplikace přistupovala k webovému rozhraní API, nakonfigurujte oprávnění pro přístup k rozhraní API v registraci aplikace. Pokud chcete poskytnout omezený přístup k prostředkům ve webovém rozhraní API, musíte nejprve zaregistrovat rozhraní API na platformě Microsoft Identity Platform.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
- Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do tenanta, který obsahuje registraci aplikace z nabídky Adresáře a předplatná.
- Proveďte kroky v registraci aplikace a přeskočte část Přesměrování URI (volitelné). Pro webové rozhraní API nemusíte konfigurovat identifikátor URI přesměrování, protože žádný uživatel není přihlášený interaktivně.
Přiřaďte vlastníka aplikace
- V registraci aplikace v části Spravovat vyberte Vlastníci a Přidat vlastníky.
- V novém okně vyhledejte a vyberte vlastníky, které chcete přiřadit k aplikaci. Vybraní vlastníci se zobrazí na pravém panelu. Po dokončení potvrďte výběr. Vlastník aplikace se teď zobrazí v seznamu vlastníka.
Poznámka:
Ujistěte se, že je vlastník přiřazený aplikaci API i aplikaci, ke které chcete přidat oprávnění, jinak se rozhraní API při vyžádání oprávnění rozhraní API nezobrazí.
Přiřaďte roli aplikace
V registraci aplikace v části Spravovat vyberte Role aplikace a Vytvořte roli aplikace.
V dalším kroku zadejte atributy role aplikace v podokně Vytvořit roli aplikace. Pro účely tohoto návodu můžete použít ukázkové hodnoty nebo zadat vlastní.
Pole Popis Příklad Zobrazované jméno Název role aplikace Záznamy zaměstnanců Povolené typy členů Určuje, jestli se role aplikace dá přiřadit uživatelům, skupinám nebo aplikacím. Aplikace Hodnota Hodnota zobrazená v položce "role" tokenu Employee.RecordsPopis Podrobnější popis role aplikace Aplikace mají přístup k záznamům zaměstnanců Zaškrtnutím políčka povolte roli aplikace a pak vyberte Použít.
Přidat obor
S zaregistrovaným webovým rozhraním API přiřazenou rolí a vlastníkem aplikace můžete přidat obory do kódu rozhraní API, aby mohl uživatelům poskytovat podrobné oprávnění.
Kód v klientské aplikaci požaduje oprávnění k provádění operací definovaných vaším webovým rozhraním API předáním přístupového tokenu spolu s požadavky na chráněný prostředek (webové rozhraní API). Vaše webové rozhraní API pak provede požadovanou operaci pouze v případě, že přístupový token, který obdrží, obsahuje obory požadované pro operaci.
Přidání oboru vyžadujícího souhlas správce a uživatele
Nejprve následujícím postupem vytvořte ukázkový obor s názvem Employees.Read.All:
Vyberte Vystavte API.
V horní části stránky vyberte Přidat vedle identifikátoru URI ID aplikace. Výchozí hodnota je
api://<application-client-id>. Identifikátor URI ID aplikace funguje jako předpona pro obory, na které budete odkazovat v kódu rozhraní API, a musí být globálně jedinečný. Zvolte Uložit.Vyberte Přidat obor:
Dále zadejte atributy oboru v podokně Přidat obor . Pro účely tohoto návodu můžete použít ukázkové hodnoty nebo zadat vlastní.
Pole Popis Příklad Název oboru Název vašeho oboru. Běžnou konvencí pojmenování oboru je resource.operation.constraint.Employees.Read.AllKdo může vyjádřit souhlas Zda tento rozsah mohou uživatelé udělit souhlas nebo je vyžadován souhlas správce. Pouze správci by měli být používáni pro oprávnění s vyššími právy. Správci a uživatelé Název pro zobrazení souhlasu správce Stručný popis účelu oboru, který uvidí jenom správci. Přístup jen pro čtení k záznamům zaměstnanců Popis souhlasu správce Podrobnější popis oprávnění uděleného oborem, který uvidí jenom správci. Povolte aplikaci přístup jen pro čtení ke všem datům zaměstnanců. Zobrazovaný název souhlasu uživatele Stručný popis účelu oboru. Zobrazí se uživatelům jenom v případě, že nastavíte možnost Kdo může udělit souhlassprávcům a uživatelům. Přístup jen pro čtení k záznamům zaměstnanců Popis souhlasu uživatele Podrobnější popis oprávnění uděleného oborem. Zobrazí se uživatelům jenom v případě, že nastavíte možnost Kdo může udělit souhlassprávcům a uživatelům. Povolte aplikaci přístup jen pro čtení k vašim datům zaměstnanců. Kraj Určuje, jestli je obor povolený nebo zakázaný. Povoleno Vyberte Přidat rozsah.
(Volitelné) Pokud chcete potlačit výzvu k vyjádření souhlasu uživatelům vaší aplikace s definovanými obory, můžete předběžně autorizovat klientskou aplikaci pro přístup k webovému rozhraní API. Předběžné autorizace pouze těch klientských aplikací, kterým důvěřujete, protože vaši uživatelé nebudou mít možnost odmítnout souhlas.
- V části Autorizované klientské aplikace vyberte Přidat klientskou aplikaci.
- Zadejte ID aplikace (klienta) klientské aplikace, kterou chcete předem autorizovat. Například je to webová aplikace, kterou jste předtím zaregistrovali.
- V části Autorizované obory vyberte obory, pro které chcete potlačit zobrazování výzev k vyjádření souhlasu, a pak vyberte Přidat aplikaci.
Pokud jste postupovali podle tohoto volitelného kroku, klientská aplikace je teď předem autorizovanou klientskou aplikací (PCA) a uživatelům se při přihlášení k němu nezobrazí výzva k vyjádření souhlasu.
Přidání oboru vyžadujícího souhlas správce
Dále přidejte další ukázkový obor s názvem Employees.Write.All , ke kterému můžou souhlasit jenom správci. Obory, které vyžadují souhlas správce, se obvykle používají k poskytování přístupu k operacím s vyššími oprávněními a jsou často využívány klientskými aplikacemi, které běží jako back-endové služby nebo programy na pozadí, a které se nepřihlašují interaktivně.
Pokud chcete přidat Employees.Write.All ukázkový obor, postupujte podle kroků v části Přidat obor a zadejte tyto hodnoty v podokně Přidat obor . Po dokončení vyberte Přidat obor :
| Pole | Příklad hodnoty |
|---|---|
| Název oboru | Employees.Write.All |
| Kdo může vyjádřit souhlas | Pouze správci |
| Název pro zobrazení souhlasu správce | Přístup pro zápis do záznamů zaměstnanců |
| Popis souhlasu správce | Umožňuje aplikaci mít přístup k zápisu ke všem datům zaměstnanců. |
| Zobrazovaný název souhlasu uživatele | Žádné (ponechejte prázdné) |
| Popis souhlasu uživatele | Žádné (ponechejte prázdné) |
| Kraj | Povoleno |
Ověření vystavených rozsahů
Pokud jste úspěšně přidali oba ukázkové obory popsané v předchozích částech, zobrazí se na kartě Zveřejnit rozhraní API v registraci aplikace vašeho webového rozhraní API, podobně jako na následujícím obrázku:
Úplný řetězec oboru je zřetězení identifikátoru URI ID aplikace vašeho webového rozhraní API a názvu oboru. Pokud je například URI identifikátor ID aplikace https://contoso.com/api vašeho webového rozhraní API a název rozsahu je Employees.Read.All, úplný rozsah je:
https://contoso.com/api/Employees.Read.All
Použití veřejných rozsahů
V dalším článku této řady nakonfigurujete registraci klientské aplikace s přístupem k webovému rozhraní API a rozsahy, které jste definovali podle kroků v tomto článku.
Jakmile je registraci klientské aplikace uděleno oprávnění k přístupu k vašemu webovému rozhraní API, může být klientovi vydán přístupový token OAuth 2.0 identifikační platformou. Když klient volá webové rozhraní API, předloží token přístupu, jehož oborový nárok (scp) je nastaven na oprávnění, která jste zadali v registraci aplikace klienta.
Další obory můžete podle potřeby zveřejnit později. Vezměte v úvahu, že webové rozhraní API může vystavit více oborů přidružených k několika operacím. Váš prostředek může kontrolovat přístup k API za běhu programu vyhodnocením deklarací oboru (scp) v přístupovém tokenu OAuth 2.0, který obdrží.
Další krok
Teď, když jste zpřístupnili webové rozhraní API konfigurací jeho oborů, nakonfigurujte registraci klientské aplikace s oprávněním pro přístup k oborům.