Autorisierung zur Unterstützung der Integration implementieren

Abgeschlossen

Das API-Paket des Datenverwaltungsframeworks verwendet OAuth 2.0 zur Autorisierung des Zugriffs. Damit Sie die API verwenden können, muss sie mit einem gültigen OAuth-Zugriffstoken verbunden sein. Für Organisationen, die eine lokale Bereitstellung durchführen, verwenden Sie Active Directory-Verbunddienste (AD FS).

Microsoft Entra ID verwendet OAuth 2.0, um den Zugriff auf Webanwendungen und Web-Anwendungsprogrammierschnittstellen in Ihrem Microsoft Entra-Mandanten zu autorisieren. Zunächst müssen Sie die Anwendung bei Ihrem Microsoft Entra-Tenant registrieren. Dies geschieht über das Microsoft Azure-Portal.

Nachfolgend sehen Sie eine Übersicht über den Workflow zur Anforderung des OAuth 2.0-Autorisierungscodes:

  1. Der Client leitet den Benutzer an den /authorize endpoint weiter.

  2. Mit dieser Anforderung gibt der Client die Berechtigungen an, die der Benutzer vorweisen muss, der Zugriff benötigt. Um Ihren OAuth 2.0-Autorisierungsendpunkt für Ihren Tenant zu erhalten, rufen Sie im Azure-Portal App-Registrierungen > Endpunkte auf.

  3. In der nativen Anwendung wird der Benutzer dazu aufgefordert, sich anzumelden und den Berechtigungen zuzustimmen, die von der App angefordert werden. Wenn der Benutzer sich authentifiziert und seine Zustimmung erteilt, sendet Microsoft Entra ID eine Antwort auf Ihre Anforderung an die redirect_uri-Adresse in Ihrer Anfrage.

    // Line breaks for legibility only
    
    https://login.microsoftonline.com/{tenant}/oauth2/authorize?
    client_id=
    &response_type=code
    &redirect_uri=http%3A%2F%2Flocalhost%3A12345
    &response_mode=query
    &resource=https%3A%2F%2Fservice.contoso.com%2F
    &state=12345
    

    Die zwei Arten von Antworten sind:

    • Erfolgreiche Antwort: Eine erfolgreiche Antwort gewährt den Zugriff und enthält die Administratoreinwilligung, den von der Anwendung angeforderten Autorisierungscode, einen eindeutigen Sitzungswert und einen Statusparameter.
    • Fehlerantwort: Bei einer Fehlerantwort wird kein Autorisierungscode erteilt. Die Fehlerantwort enthält den Fehlercodewert, die Fehlerbeschreibung und den Statuswert.

    Bei einer erfolgreichen Antwort wird ein Autorisierungscode erteilt und der Benutzer erhält Zugriff.

  4. Der Code kann jetzt für ein Zugriffstoken für die gewünschte Ressource eingelöst werden. Zu diesem Zweck wird eine POST-Anforderung an den /token-Endpunkt gesendet.

  5. Bei einer erfolgreichen Antwort gibt Microsoft Entra ID ein Zugriffstoken zurück. Das Zugriffstoken ist ein Json Web Token (JWT).

  6. Wenn das Zugriffstoken angefordert wird, gibt Microsoft Entra ID Metadaten zum Zugriffstoken für die Datennutzung der Anwendung zurück. Der Client sollte Zugriffstoken für die angegebene Lebensdauer des Tokens in der OAuth2-Antwort zwischenspeichern. Eine Web-API gibt möglicherweise eine invalid_token-Antwort zurück. Dies könnte an einem abgelaufenen Token liegen.

  7. Wenn das Zugriffstoken abgerufen wird, kann das Token in Anforderungen an Web-APIs verwendet werden.