Hinzufügen einer Web-API-Anwendung zu Ihrem Azure Active Directory B2C-Mandanten

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

In diesem Artikel erfahren Sie, wie Sie Web-API-Ressourcen in Ihrem Azure Active Directory B2C (Azure AD B2C)-Mandanten registrieren, damit sie Anforderungen von Clientanwendungen akzeptieren und beantworten können, die ein Zugriffstoken darstellen.

Um eine Anwendung in Ihrem Azure AD B2C-Mandanten zu registrieren, können Sie die folgenden Schritte ausführen:

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Wählen Sie im linken Menü Azure AD B2C aus. Oder wählen Sie "Alle Dienste " aus, und suchen Sie nach Azure AD B2C.
4. Wählen Sie App-Registrierungen aus, und wählen Sie dann Registrierung einer neuen Anwendung aus.
5. Geben Sie einen Namen für die Anwendung ein. Beispiel: webapi1.
6. Wählen Sie unter Umleitungs-URI"Web" aus, und geben Sie dann einen Endpunkt ein, in dem Azure AD B2C alle Token zurückgeben soll, die Ihre Anwendung anfordert. In einer Produktionsanwendung könnten Sie den Umleitungs-URI auf einen Endpunkt wie https://localhost:5000 festlegen. Während der Entwicklung oder des Tests können Sie es auf https://jwt.ms festlegen, eine von Microsoft betriebene Webanwendung, die den dekodierten Inhalt eines Tokens anzeigt (der Inhalt des Tokens verlässt Ihren Browser nie). Sie können Umleitungs-URIs in Ihren registrierten Anwendungen jederzeit hinzufügen und ändern.
7. Wählen Sie Registrieren aus.
8. Notieren Sie die Anwendungs-ID (Client-ID) für die Verwendung im Code Ihrer Web-API.

Konfigurieren von Geltungsbereichen

Bereiche bieten eine Möglichkeit, den Zugriff auf geschützte Ressourcen zu steuern. Bereiche werden von der Web-API verwendet, um eine bereichsbasierte Zugriffssteuerung zu implementieren. Beispielsweise könnten Benutzer der Web-API sowohl Lese- als auch Schreibzugriff haben, oder Benutzer der Web-API haben möglicherweise nur Lesezugriff. In diesem Lernprogramm verwenden Sie Bereiche, um Lese- und Schreibberechtigungen für die Web-API zu definieren.

1. Wählen Sie App-Registrierungen aus.
2. Wählen Sie die Webapi1-Anwendung aus, um die Zugehörige Übersichtsseite zu öffnen.
3. Wählen Sie unter Verwalten die Option Eine API verfügbar machen aus.
4. Wählen Sie neben dem Anwendungs-ID-URI den Link "Hinzufügen" aus.
5. Ersetzen Sie den Standardwert (eine GUID) durch api, und wählen Sie dann "Speichern" aus. Der vollständige URI wird angezeigt und sollte im Format vorliegen https://your-tenant-name.onmicrosoft.com/api. Wenn Ihre Webanwendung ein Zugriffstoken für die API anfordert, sollte dieser URI als Präfix für jeden Bereich hinzugefügt werden, den Sie für die API definieren.
6. Wählen Sie unter Durch diese API definierte Bereiche die Option Bereich hinzufügen aus.
7. Geben Sie die folgenden Werte ein, um einen Bereich zu erstellen, der den Lesezugriff auf die API definiert, und wählen Sie dann "Bereich hinzufügen" aus:
   1. Bereichsname: demo.read
   2. Anzeigename der Administratorzustimmung: Read access to demo API
   3. Beschreibung der Administratoreinwilligung: Allows read access to the demo API
8. Wählen Sie "Bereich hinzufügen" aus, geben Sie die folgenden Werte ein, um einen Bereich hinzuzufügen, der schreibzugriff auf die API definiert, und wählen Sie dann "Bereich hinzufügen" aus:
   1. Bereichsname: demo.write
   2. Anzeigename der Administratorzustimmung: Write access to demo API
   3. Beschreibung der Administratoreinwilligung: Allows write access to the demo API

Berechtigungen erteilen

Um eine geschützte Web-API aus einer Anwendung aufzurufen, müssen Sie der API Ihre Anwendungsberechtigungen erteilen. Beispiel : Registrieren einer Anwendung in Azure Active Directory B2C, eine Webanwendung mit dem Namen "webapp1" wird in Azure AD B2C registriert. Sie können diese Anwendung verwenden, um die Web-API aufzurufen.

1. Wählen Sie App-Registrierungen aus, und wählen Sie dann die Webanwendung aus, die Zugriff auf die API haben soll. Beispiel: webapp1.
2. Wählen Sie unter Verwaltendie Option API-Berechtigungenaus.
3. Wählen Sie unter Konfigurierte Berechtigungen die Option Berechtigung hinzufügen aus.
4. Wählen Sie die Registerkarte Meine APIs aus.
5. Wählen Sie die API aus, auf die die Webanwendung Zugriff erhalten soll. Beispiel: webapi1.
6. Erweitern Sie unter "Berechtigung" die Demo, und wählen Sie dann die Bereiche aus, die Sie zuvor definiert haben. Beispiel: demo.read und demo.write.
7. Wählen Sie "Berechtigungen hinzufügen" aus.
8. Wählen Sie Administratorzustimmung für (Name Ihres Mandanten) erteilen aus.
9. Wenn Sie aufgefordert werden, ein Konto auszuwählen, wählen Sie Ihr aktuell angemeldetes Administratorkonto aus, oder melden Sie sich mit einem Konto in Ihrem Azure AD B2C-Mandanten an, dem mindestens die Rolle des Cloudanwendungsadministrators zugewiesen wurde.
10. Wählen Sie Ja aus.
11. Wählen Sie Aktualisieren aus, und vergewissern Sie sich, dass für beide Bereiche unter Status der Status „Gewährt für...“ angezeigt wird.

Ihre Anwendung wird registriert, um die geschützte Web-API aufzurufen. Ein Benutzer authentifiziert sich bei Azure AD B2C für die Verwendung der Anwendung. Die Anwendung erhält eine Autorisierungserteilung von Azure AD B2C, um auf die geschützte Web-API zuzugreifen.