Sdílet prostřednictvím


Udělení přístupu k rozhraní API pro příchozí zřizování

Úvod

Jakmile nakonfigurujete příchozí aplikaci zřizování řízenou rozhraním API, musíte udělit přístupová oprávnění, aby klienti rozhraní API mohli odesílat požadavky do rozhraní API pro zřizování /bulkUpload API a dotazovat se na rozhraní API protokolů zřizování. Tento kurz vás provede postupem konfigurace těchto oprávnění.

V závislosti na tom, jak se klient rozhraní API ověřuje pomocí ID Microsoft Entra, můžete vybrat mezi dvěma možnostmi konfigurace:

Konfigurace instančního objektu

Tato konfigurace zaregistruje aplikaci v Microsoft Entra ID, která představuje externího klienta rozhraní API, a udělí jí oprávnění k vyvolání příchozího zřizovacího rozhraní API. ID klienta instančního objektu a tajný klíč klienta lze použít v toku udělení přihlašovacích údajů klienta OAuth.

  1. Přihlaste se k Centru pro správu Microsoft Entra (https://entra.microsoft.com) s alespoň přihlašovacími údaji správce aplikací.
  2. Přejděte na Microsoft Entra ID ->Applications ->Registrace aplikací.
  3. Klikněte na možnost Nová registrace.
  4. Zadejte název aplikace, vyberte výchozí možnosti a klikněte na Zaregistrovat. Snímek obrazovky s registrací aplikace
  5. Zkopírujte hodnoty ID aplikace (klienta) a ID adresáře (tenanta) z okna Přehled a uložte ho pro pozdější použití v klientovi rozhraní API. Snímek obrazovky s ID klienta aplikace
  6. V místní nabídce aplikace vyberte možnost Certifikáty a tajné kódy .
  7. Vytvořte nový tajný klíč klienta. Zadejte popis tajného klíče a data vypršení platnosti.
  8. Zkopírujte vygenerovanou hodnotu tajného klíče klienta a uložte ji pro pozdější použití v klientovi rozhraní API.
  9. V místní nabídce oprávnění rozhraní API vyberte možnost Přidat oprávnění.
  10. V části Požádat o oprávnění rozhraní API vyberte Microsoft Graph.
  11. Vyberte Oprávnění aplikace.
  12. Vyhledejte a vyberte oprávnění AuditLog.Read.All a SynchronizationData-User.Upload.
  13. Kliknutím na Udělení souhlasu správce na další obrazovce dokončete přiřazení oprávnění. V potvrzovacím dialogovém okně klikněte na Ano. Vaše aplikace by měla mít následující sady oprávnění. Snímek obrazovky s oprávněními aplikace
  14. Teď jste připraveni použít instanční objekt s klientem rozhraní API.
  15. V případě produkčních úloh doporučujeme používat ověřování pomocí klientského certifikátu s instančním objektem nebo spravovanými identitami.

Konfigurace spravované identity

Tato část popisuje, jak můžete přiřadit potřebná oprávnění ke spravované identitě.

  1. Nakonfigurujte spravovanou identitu pro použití s prostředkem Azure.

  2. Zkopírujte název vaší spravované identity z Centra pro správu Microsoft Entra. Příklad: Následující snímek obrazovky ukazuje název spravované identity přiřazené systémem přidružený k pracovnímu postupu Azure Logic Apps s názvem CSV2SCIMBulkUpload.

    Snímek obrazovky s názvem spravované identity

  3. Spuštěním následujícího skriptu PowerShellu přiřaďte oprávnění ke spravované identitě.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
    Connect-MgGraph -Scopes "Application.Read.All","AppRoleAssignment.ReadWrite.All,RoleManagement.ReadWrite.Directory"
    $graphApp = Get-MgServicePrincipal -Filter "AppId eq '00000003-0000-0000-c000-000000000000'"
    
    $PermissionName = "SynchronizationData-User.Upload"
    $AppRole = $graphApp.AppRoles | `
    Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
    $managedID = Get-MgServicePrincipal -Filter "DisplayName eq 'CSV2SCIMBulkUpload'"
    New-MgServicePrincipalAppRoleAssignment -PrincipalId $managedID.Id -ServicePrincipalId $managedID.Id -ResourceId $graphApp.Id -AppRoleId $AppRole.Id
    
    $PermissionName = "AuditLog.Read.All"
    $AppRole = $graphApp.AppRoles | `
    Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
    $managedID = Get-MgServicePrincipal -Filter "DisplayName eq 'CSV2SCIMBulkUpload'"
    New-MgServicePrincipalAppRoleAssignment -PrincipalId $managedID.Id -ServicePrincipalId $managedID.Id -ResourceId $graphApp.Id -AppRoleId $AppRole.Id
    
  4. Pokud chcete ověřit, že se oprávnění použilo, vyhledejte instanční objekt spravované identity v části Podnikové aplikace v MICROSOFT Entra ID. Odebráním filtru typu aplikace zobrazíte všechny instanční objekty. Snímek obrazovky s objektem zabezpečení spravované identity

  5. Klikněte na okno Oprávnění v části Zabezpečení. Ujistěte se, že je nastavené oprávnění. Snímek obrazovky s oprávněními spravované identity

  6. Teď jste připraveni používat spravovanou identitu s klientem rozhraní API.

Další kroky