Hinzufügen einer Web-API-Anwendung zu Ihrem Azure Active Directory B2C-Mandanten
In diesem Artikel erfahren Sie, wie Sie Web-API-Ressourcen in Ihrem Azure Active Directory B2C-Mandanten (Azure AD B2C) registrieren, sodass sie Anforderungen von Clientanwendungen akzeptieren und darauf reagieren können, die ein Zugriffstoken darstellen.
Zum Registrieren einer Anwendung in Ihrem Azure AD B2C-Mandanten können Sie im Azure-Portal die neue einheitliche Benutzeroberfläche für App-Registrierungen oder die alte Benutzeroberfläche für Anwendungen (Legacy) verwenden. Weitere Informationen zur neuen Oberfläche
- Melden Sie sich beim Azure-Portal an.
- Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
- Wählen Sie im linken Menü die Option Azure AD B2C aus. Oder wählen Sie Alle Dienste aus, suchen Sie nach dem Eintrag Azure AD B2C, und wählen Sie ihn aus.
- Wählen Sie App-Registrierungen aus, und wählen Sie dann Registrierung einer neuen Anwendung aus.
- Geben Sie unter Name einen Namen für die Anwendung ein. Beispiel: webapi1.
- Wählen Sie unter Umleitungs-URI die Option Web aus, und geben Sie dann einen Endpunkt ein, an den Azure AD B2C von Ihrer Anwendung angeforderte Token zurückgeben soll. In einer Produktionsanwendung können Sie den Umleitungs-URI auf einen Endpunkt wie
https://localhost:5000
festlegen. In einer Entwicklungs- oder Testumgebung können Sie ihn aufhttps://jwt.ms
festlegen. Dabei handelt es sich um eine Microsoft-Webanwendung, die den decodierten Inhalt eines Tokens anzeigt (der Inhalt des Tokens verlässt niemals Ihren Browser). Sie können Umleitungs-URIs in Ihren registrierten Anwendungen jederzeit hinzufügen und ändern. - Wählen Sie Registrieren.
- Notieren Sie sich die Anwendungs-ID (Client) zur Verwendung im Code der Web-API.
Konfigurieren von Bereichen
Bereiche ermöglichen die Steuerung des Zugriffs auf geschützte Ressourcen. Bereiche werden von der Web-API verwendet, um eine bereichsbasierte Zugriffssteuerung zu implementieren. Benutzer der Web-API können beispielsweise über Lese- und Schreibzugriff oder nur über Lesezugriff verfügen. In diesem Tutorial verwenden Sie Bereiche zum Definieren von Lese- und Schreibberechtigungen für die Web-API.
- Wählen Sie App-Registrierungen aus.
- Wählen Sie die Anwendung webapi1 aus, um ihre Übersicht-Seite zu öffnen.
- Wählen Sie unter Verwalten die Option Eine API verfügbar machen aus.
- Wählen Sie neben Anwendungs-ID-URI den Link Hinzufügen aus.
- Ersetzen Sie den Standardwert (eine GUID) durch
api
, und wählen Sie dann Speichern aus. Der vollständige URI wird angezeigt und sollte das Formathttps://your-tenant-name.onmicrosoft.com/api
aufweisen. Wenn Ihre Webanwendung ein Zugriffstoken für die API anfordert, sollte sie diesen URI als Präfix für jeden Bereich hinzufügen, den Sie für die API definieren. - Wählen Sie unter Durch diese API definierte Bereiche die Option Bereich hinzufügen aus.
- Geben Sie die folgenden Werte ein, um einen Bereich zu erstellen, der Lesezugriff auf die API definiert, und wählen Sie dann Bereich hinzufügen aus:
- Bereichsname:
demo.read
- Anzeigename der Administratoreinwilligung:
Read access to demo API
- Beschreibung der Administratoreinwilligung:
Allows read access to the demo API
- Bereichsname:
- Wählen Sie Bereich hinzufügen aus, geben Sie die folgenden Werte ein, um einen Bereich hinzuzufügen, der Schreibzugriff auf die API definiert, und wählen Sie dann Bereich hinzufügen aus:
- Bereichsname:
demo.write
- Anzeigename der Administratoreinwilligung:
Write access to demo API
- Beschreibung der Administratoreinwilligung:
Allows write access to the demo API
- Bereichsname:
Erteilen von Berechtigungen
Wenn Sie über eine Anwendung eine geschützte Web-API aufrufen möchten, müssen Sie Ihrer Anwendung Berechtigungen für die API erteilen. Unter Tutorial: Registrieren einer Anwendung in Azure Active Directory B2C wird z. B. eine Webanwendung mit dem Namen webapp1 in Azure AD B2C registriert. Sie können diese Anwendung für den Aufruf der Web-API verwenden.
- Wählen Sie App-Registrierungen aus, und wählen Sie dann die Webanwendung aus, die Zugriff auf die API haben soll. Beispiel: webapp1.
- Wählen Sie unter Verwalten die Option API-Berechtigungen.
- Wählen Sie unter Konfigurierte Berechtigungen die Option Berechtigung hinzufügen aus.
- Wählen Sie die Registerkarte Meine APIs aus.
- Wählen Sie die API aus, für die der Webanwendung Zugriff gewährt werden soll. Beispiel: webapi1.
- Erweitern Sie unter Berechtigung den Eintrag Demo, und wählen Sie dann die zuvor definierten Bereiche aus. Beispiel: demo.read und demo.write
- Wählen Sie Berechtigungen hinzufügen aus.
- Wählen Sie Administratorzustimmung für (Name Ihres Mandanten) erteilen aus.
- Wenn Sie zur Auswahl eines Kontos aufgefordert werden, wählen Sie das derzeit angemeldete Administratorkonto aus, oder melden Sie sich mit einem Konto bei Ihrem Azure AD B2C-Mandanten an, dem mindestens die Rolle Cloudanwendungsadministrator zugewiesen wurde.
- Wählen Sie Ja aus.
- Wählen Sie Aktualisieren aus, und vergewissern Sie sich, dass für beide Bereiche unter Status der Status „Gewährt für...“ angezeigt wird.
Ihre Anwendung ist für den Aufruf der geschützten Web-API registriert. Ein Benutzer authentifiziert sich mit Azure AD B2C, um die Anwendung zu verwenden. Die Anwendung bezieht eine Autorisierungsgewährung von Azure AD B2C, um auf die geschützte Web-API zuzugreifen.