Freigeben über

Konfigurieren von App-Berechtigungen für eine Web-API

In dieser Anleitung stellen Sie eine Client-App bereit, die mit der Microsoft Identity Platform registriert ist, mit bereichsbezogenen, berechtigungenbasierten Zugriff auf Ihre eigene Web-API. Außerdem ermöglichen Sie der Client-App den Zugriff auf Microsoft Graph.

Wenn Sie die Bereiche einer Web-API in der Registrierung Ihrer Client-App angeben, kann die Client-App ein Zugriffstoken mit diesen Bereichen von der Microsoft Identity Platform abrufen. Innerhalb des Codes kann die Web-API dann berechtigungsbasierten Zugriff auf die zugehörigen Ressourcen basierend auf den im Zugriffstoken enthaltenen Bereichen bereitstellen.

Voraussetzungen

Hinzufügen von Berechtigungen für den Zugriff auf Ihre Web-API

Damit Clientanwendungen auf Web-APIs zugreifen können, müssen Sie der Clientanwendung Berechtigungen für den Zugriff auf die Web-API hinzufügen. Ebenso müssen Sie in der Web-API Zugriffsbereiche und Rollen für die Clientanwendung konfigurieren.

Um einer Clientanwendung Zugriff auf Ihre eigene Web-API zu gewähren, müssen Sie über zwei App-Registrierungen verfügen.

In der Abbildung sehen Sie, wie sich die beiden App-Registrierungen aufeinander beziehen, sowie die verschiedenen Berechtigungstypen der Client-App und die verschiedenen Bereiche der Web-API, auf die die Clientanwendung zugreifen kann. In diesem Abschnitt fügen Sie der Registrierung der Client-App Berechtigungen hinzu.

Liniendiagramm mit einer Web-API mit verfügbar gemachten Bereichen auf der rechten Seite und einer Client-App auf der linken Seite mit diesen Bereichen, die als Berechtigungen ausgewählt sind

Nachdem Sie sowohl die Client-App als auch die Web-API registriert und die API durch das Erstellen von Bereichen verfügbar gemacht haben, können Sie die Berechtigungen der Client-App für die API konfigurieren, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol "Einstellungen" im oberen Menü, um zum Mandanten zu wechseln, der die App-Registrierung aus dem Menü "Verzeichnisse + Abonnements" enthält.

  3. Navigieren Sie zu Entra>, und wählen Sie dann Ihre Clientanwendung (nicht Ihre Web-API) aus.

  4. Wählen Sie API-Berechtigungen aus, und fügen Sie dann eine Berechtigung hinzu , und wählen Sie "Meine APIs " in der Randleiste aus.

    Screenshot mit hervorgehobenen Schaltflächen für App-Registrierungen, API-Berechtigungen, Hinzufügen einer Berechtigung und

  5. Wählen Sie die Web-API aus, die Sie als Teil der Voraussetzungen registriert haben, und wählen Sie delegierte Berechtigungen aus.

    • Delegierte Berechtigungen sind für Client-Apps geeignet, die als angemeldeter Benutzer auf eine Web-API zugreifen und deren Zugriff auf die Berechtigungen beschränkt werden soll, die Sie im nächsten Schritt auswählen. Lassen Sie delegierte Berechtigungen für dieses Beispiel ausgewählt.

    • Anwendungsberechtigungen gelten für Dienst- oder Daemon-Typ-Anwendungen, die ohne Benutzerinteraktion für die Anmeldung oder Zustimmung auf eine Web-API als sich selbst zugreifen müssen. Sofern Sie keine Anwendungsrollen für Ihre Web-API definiert haben, ist diese Option deaktiviert.

  6. Erweitern Sie unter "Berechtigungen auswählen" die Ressource, deren Bereiche Sie für Ihre Web-API definiert haben, und wählen Sie die Berechtigungen aus, die die Client-App im Namen des angemeldeten Benutzers haben soll.

    • Wenn Sie die in der vorherigen Schnellstart angegebenen Beispielbereichsnamen verwendet haben, sollten Sie Employees.Read.All und Employees.Write.All sehen.

  7. Wählen Sie die Berechtigung aus, die Sie beim Erfüllen der Voraussetzungen erstellt haben, z. B. Employees.Read.All.

  8. Wählen Sie "Berechtigungen hinzufügen" aus, um den Vorgang abzuschließen.

Nachdem Sie Ihrer API Berechtigungen hinzugefügt haben, sollten die ausgewählten Berechtigungen unter "Konfigurierte Berechtigungen" angezeigt werden. Die folgende Abbildung zeigt das Beispiel der delegierten Berechtigung Employees.Read.All, die zur Registrierung der Client-App hinzugefügt wurde.

Bereich

Möglicherweise stellen Sie auch die User.Read-Berechtigung für die Microsoft Graph-API fest. Diese Berechtigung wird automatisch hinzugefügt, wenn Sie eine App im Azure-Portal registrieren.

Hinzufügen von Berechtigungen für den Zugriff auf Microsoft Graph

Zusätzlich zum Zugriff auf Ihre eigene Web-API im Namen des angemeldeten Benutzers muss Ihre Anwendung möglicherweise auch auf die in Microsoft Graph gespeicherten Daten des Benutzers (oder andere Daten) zugreifen oder diese ändern. Möglicherweise verfügen Sie auch über eine Dienst- oder Daemon-App, die als solche auf Microsoft Graph zugreifen muss und Vorgänge ohne Benutzerinteraktion ausführt.

Delegierte Berechtigung für Microsoft Graph

Konfigurieren Sie die delegierte Berechtigung für Microsoft Graph, damit Ihre Clientanwendung Vorgänge im Namen des angemeldeten Benutzers ausführen kann, z. B. das Lesen seiner E-Mail oder das Ändern seines Profils. Standardmäßig werden die Benutzer Ihrer Client-App bei der Anmeldung aufgefordert, den delegierten Berechtigungen zuzustimmen, die Sie für die App konfiguriert haben.

  1. Wählen Sie auf der Seite Übersicht Ihrer Clientanwendung API-Berechtigungen>Berechtigung hinzufügen>Microsoft Graph aus.

  2. Wählen Sie delegierte Berechtigungen aus. Microsoft Graph macht viele Berechtigungen verfügbar, wobei die am häufigsten verwendeten Berechtigungen am Anfang der Liste angezeigt werden.

  3. Wählen Sie unter "Berechtigungen auswählen" die folgenden Berechtigungen aus:

    Erlaubnis BESCHREIBUNG
    email Anzeigen der E-Mail-Adresse des Benutzers
    offline_access Zugriff auf Daten beibehalten, für die Sie der App Zugriff erteilt haben
    openid Anmelden von Benutzern
    profile Anzeigen des grundlegenden Benutzerprofils

  4. Wählen Sie "Berechtigungen hinzufügen" aus, um den Vorgang abzuschließen.

Wenn Sie Berechtigungen konfigurieren, werden die Benutzer Ihrer App bei der Anmeldung aufgefordert, ihre Zustimmung zu erteilen, damit Ihre App in ihrem Namen auf die Ressourcen-API zugreifen kann.

Als Administrator können Sie auch die Zustimmung im Namen aller Benutzer erteilen, damit sie nicht dazu aufgefordert werden. Die Administratorzustimmung wird weiter unten im Abschnitt " Weitere Informationen zu API-Berechtigungen und Administratorzustimmung" dieses Artikels erläutert.

Anwendungsberechtigung für Microsoft Graph

Konfigurieren Sie Anwendungsberechtigungen für eine Anwendung, die sich ohne Benutzerinteraktion oder Zustimmung als sie selbst authentifizieren muss. Anwendungsberechtigungen werden in der Regel von Hintergrunddiensten oder Daemon-Apps verwendet, die „monitorlos“ auf eine API zugreifen, und von Web-APIs, die auf eine andere (nachgeschaltete) API zugreifen.

In den folgenden Schritten erteilen Sie die Berechtigung " Files.Read.All " von Microsoft Graph als Beispiel.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol "Einstellungen" im oberen Menü, um zum Mandanten zu wechseln, der die App-Registrierung aus dem Menü "Verzeichnisse + Abonnements" enthält.
  3. Navigieren Sie zu Entra ID>App-Registrierungen, und wählen Sie dann Ihre Clientanwendung aus.
  4. Wählen Sie API-Berechtigungen>aus, um Berechtigungen> fürMicrosoft> hinzuzufügen.
  5. Alle von Microsoft Graph verfügbar gemachten Berechtigungen werden unter "Berechtigungen auswählen" angezeigt.
  6. Wählen Sie die Berechtigung(en) aus, die Sie Ihrer Anwendung erteilen möchten. Beispielsweise verfügen Sie möglicherweise über eine Daemon-App, die Dateien in Ihrer Organisation überprüft und bei bestimmten Dateitypen oder -namen eine Warnung ausgibt. Erweitern Sie unter "Berechtigungen auswählen"Dateien, und wählen Sie dann die Files.Read.All Berechtigung aus.
  7. Wählen Sie "Berechtigungen hinzufügen" aus.
  8. Einige Berechtigungen, z. B. die Berechtigung "Files.Read.All " von Microsoft Graph, erfordern die Zustimmung des Administrators. Sie erteilen Administratorzustimmung, indem Sie die Schaltfläche " Administratorzustimmung erteilen" auswählen, die weiter unten im Abschnitt "Administratorzustimmung" erläutert wird.

Konfigurieren von Clientanmeldeinformationen

Apps, die Anwendungsberechtigungen verwenden, authentifizieren sich selbst mit ihren eigenen Anmeldeinformationen, ohne Benutzerinteraktion. Bevor Ihre Anwendung (oder API) auf Microsoft Graph, Ihre eigene Web-API oder eine andere API mithilfe von Anwendungsberechtigungen zugreifen kann, müssen Sie die Anmeldeinformationen dieser Client-App konfigurieren.

Weitere Informationen zum Konfigurieren der Anmeldeinformationen einer App finden Sie im Abschnitt " Hinzufügen von Anmeldeinformationen " in der Schnellstartleiste: Registrieren einer Anwendung bei der Microsoft Identity Platform.

Der API-Berechtigungsbereich einer App-Registrierung enthält die Tabelle "Konfigurierte Berechtigungen " und die Schaltfläche "Administratorzustimmung", die in den folgenden Abschnitten beschrieben werden.

Konfigurierte Berechtigungen

In der Tabelle "Konfigurierte Berechtigungen" im Bereich "API-Berechtigungen" wird die Liste der Berechtigungen angezeigt, die Ihre Anwendung für den grundlegenden Vorgang benötigt – die Liste der erforderlichen Ressourcenzugriffe (RRA). Benutzer oder ihre Administratoren müssen diesen Berechtigungen zustimmen, bevor sie Ihre App verwenden können. Andere optionale Berechtigungen können später zur Laufzeit (mit dynamischer Zustimmung) angefordert werden.

Dies ist die Liste der Mindestberechtigungen, denen die Benutzer für Ihre App zustimmen müssen. Es könnte mehr geben, aber diese werden immer benötigt. Aus Sicherheitsgründen und um die Verwendung Ihrer App für Benutzer und Administratoren angenehmer zu gestalten, sollten Sie nie etwas anfordern, das Sie nicht benötigen.

Sie können die Berechtigungen hinzufügen oder entfernen, die in dieser Tabelle angezeigt werden, indem Sie die oben beschriebenen Schritte ausführen. Als Administrator können Sie die Administratorzustimmung für den vollständigen Satz der in der Tabelle aufgeführten Berechtigungen einer API erteilen und die Zustimmung für einzelne Berechtigungen widerrufen.

Mit der Schaltfläche "Administrative Zustimmung für {Ihr Mandant}" kann ein Administrator Zustimmung zu den Berechtigungen erteilen, die für die Anwendung konfiguriert wurden. Wenn Sie die Schaltfläche auswählen, wird ein Dialogfeld angezeigt, in dem Sie die Einwilligungsaktion bestätigen müssen.

Schaltfläche

Nachdem Sie die Einwilligung erteilt haben, werden die Berechtigungen, für die eine Administratoreinwilligung erforderlich ist, als erteilt angezeigt:

Konfigurieren der Berechtigungstabelle im Azure-Portal, in der die Administratorzustimmung für die Berechtigung Files.Read.All angezeigt wird

Die Schaltfläche " Administratorzustimmung erteilen" ist deaktiviert , wenn Sie kein Administrator sind oder wenn keine Berechtigungen für die Anwendung konfiguriert wurden. Wenn Sie über Berechtigungen verfügen, die erteilt, aber noch nicht konfiguriert wurden, werden Sie nach dem Auswählen der Schaltfläche für die Administratoreinwilligung aufgefordert, zu entscheiden, wie mit diesen Berechtigungen verfahren werden soll. Sie können diese Berechtigungen den konfigurierten Berechtigungen hinzufügen oder entfernen.

Entfernen von Anwendungsberechtigungen

Es ist wichtig, einer Anwendung nicht mehr Berechtigungen zu erteilen, als erforderlich sind. Um die Administratoreinwilligung für eine Berechtigung in Ihrer Anwendung zu widerrufen, gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Ihrer Anwendung, und wählen Sie API-Berechtigungen aus.
  2. Wählen Sie unter "Konfigurierte Berechtigungen" die drei Punkte neben der Berechtigung aus, die Sie entfernen möchten, und wählen Sie " Administratorzustimmung widerrufen" aus.
  3. Wählen Sie im daraufhin angezeigten Pop-up Ja, entfernen, um die Administratorzustimmung für die Berechtigung zu widerrufen.

Zugehöriger Inhalt

In der nächsten Schnellstartanleitung der Reihe erfahren Sie, wie Sie konfigurieren, welche Kontotypen auf Ihre Anwendung zugreifen können. Beispielsweise können Sie den Zugriff auf die Benutzer in Ihrer Organisation (Einzelmandant) beschränken oder ihn für Benutzer in anderen Microsoft Entra-Mandanten (Mehrmandant) sowie für solche mit persönlichen Microsoft-Konten (MSA) zulassen.

Ändern der von einer Anwendung unterstützten Konten