Vorbereiten des externen Mandanten für den Aufruf einer API in einer Node.js-Webanwendung

In diesem Artikel bereiten Sie Ihren externen Mandanten für die Autorisierung vor. Dieser Artikel ist der erste Teil einer vierteiligen Führungslinie.

Voraussetzungen

• Schließen Sie die Schritte in Tutorial: Vorbereiten des externen Mandanten zum Anmelden von Benutzer*innen bei einer Node.js-Web-App ab. Nachdem Sie dieses Tutorial abgeschlossen haben, registrieren Sie eine App im Tenant des Kunden, und Sie haben eine Web-App, die sich bei Benutzern anmeldet. Wir bezeichnen diese Webanwendung als Clientanwendung. Sie erweitern diese Anwendung, um eine geschützte Web-API aufzurufen.

• Schließen Sie die Schritte in Tutorial: Schützen einer in einem externen Mandanten registrierten ASP.NET-Web-API ab. Nachdem Sie dieses Lernprogramm abgeschlossen haben, registrieren Sie eine Web-API im Tenant Ihres Kunden, die API-Berechtigungen verfügbar macht und Anwendungsrollen veröffentlicht. Sie verfügen auch über eine gesicherte Web-API. Sie rufen diese Web-API aus der Clientwebanwendung auf.

Konfigurieren des Tokenanspruchs „idtyp“ [optional]

Von der Microsoft-Identität zurückgegebene Token werden kleiner gehalten, um eine optimale Leistung von Clients zu gewährleisten, die sie anfordern. Daher sind einige Ansprüche nicht mehr standardmäßig im Token vorhanden und müssen für einzelne Anwendungen speziell angefordert werden. Fügen Sie für diese App den optionalen Anspruch idtyp ein, damit die Web-API besser ermitteln kann, ob ein Token ein App-Token oder ein App- und Benutzertoken ist. Für den gleichen Zweck kann zwar auch eine Kombination aus Ansprüchen vom Typ scp und roles verwendet werden, die Verwendung des Anspruchs idtyp ist jedoch die einfachste Möglichkeit, um App-Token von App- und Benutzertoken zu unterscheiden. Der Wert dieses Anspruchs ist beispielsweise app, wenn das Token ein reines App-Token ist.

Führen Sie die folgenden Schritte aus, um den optionalen Anspruch idtyp zu konfigurieren:

1. Wählen Sie auf der Seite App-Registrierungen den zu konfigurierenden optionalen Anspruch aus, z. B. ciam-client-app, um die entsprechende Seite Übersicht zu öffnen.

2. Wählen Sie unter Verwalten die Option Tokenkonfiguration aus.

3. Wählen Sie Optionalen Anspruch hinzufügen aus.

4. Wählen Sie unter Tokentyp die Option Zugriff aus.

5. Wählen Sie den optionalen Anspruch idtyp aus.

6. Klicken Sie auf Hinzufügen, um die Änderungen zu speichern.

Erteilen von API-Berechtigungen für die Web-App

Aus den Voraussetzungen haben Sie eine Client-App im Tenant Ihres Kunden registriert. Sie haben auch eine Web-API-App in Ihren Kunden registriert. Jetzt müssen Sie Ihrer Client-App API-Berechtigungen erteilen:

1. Wählen Sie auf der Seite App-Registrierungen die von Ihnen erstellte Anwendung (z. B. ciam-client-app) aus, um die Seite Übersicht zu öffnen.

2. Wählen Sie unter Verwalten die Option API-Berechtigungen.

3. Wählen Sie unter Konfigurierte Berechtigungen die Option Berechtigung hinzufügen aus.

4. Wählen Sie die Registerkarte Von meiner Organisation verwendete APIs aus.

5. Wählen Sie in der Liste der APIs die API aus, z. B. ciam-ToDoList-api.

6. Wählen Sie Delegierte Berechtigungen aus.

7. Wählen Sie in der Berechtigungsliste ToDoList.Read, ToDoList.ReadWrite aus (verwenden Sie bei Bedarf das Suchfeld).

8. Wählen Sie die Schaltfläche Berechtigungen hinzufügen aus.

9. An diesem Punkt haben Sie die Berechtigungen ordnungsgemäß zugewiesen. Da der Mandant jedoch der Mandant eines Kunden ist, können die Consumer-Benutzer selbst diesen Berechtigungen nicht zustimmen. Zum Beheben dieses Problems müssen Sie unter einem Administratorkonto im Namen aller Benutzer im Mandanten diesen Berechtigungen zustimmen:

   1. Wählen Sie Administratorzustimmung für <Name Ihres Mandanten> erteilen und dann Ja aus.

   2. Wählen Sie Aktualisieren aus, und vergewissern Sie sich, dass für beide Berechtigungen unter Status der Status Gewährt für <Name Ihres Mandanten> angezeigt wird.

10. Wählen Sie in der Liste Konfigurierte Berechtigungen die Berechtigungen ToDoList.Read und ToDoList.ReadWrite nacheinander aus, und kopieren Sie dann den vollständigen URI der Berechtigung zur späteren Verwendung. Der vollständige Berechtigungs-URI ähnelt api://{clientId}/{ToDoList.Read} oder api://{clientId}/{ToDoList.ReadWrite}.

Nächster Schritt

Als Nächstes erfahren Sie, wie Sie Ihre Webanwendung und API vorbereiten.

Beginnen Sie mit dem Erstellen Ihrer Webanwendung und API