Implementar autorización para admitir la integración

  • 5 minutos

La API del paquete del marco de administración de datos usa OAuth 2.0 para autorizar el acceso. Para que pueda utilizar la API, debe estar conectada a un token de acceso de OAuth válido. Para las organizaciones que realizan una implementación local, usará los Servicios de federación de Active Directory (AD FS).

Microsoft Entra ID usa OAuth 2.0 para permitirle autorizar el acceso a aplicaciones web e interfaces de programación de aplicaciones web dentro de su inquilino de Microsoft Entra. Para empezar, debe registrar la aplicación con su suscriptor de Microsoft Entra. Esto se hace a través del portal de Microsoft Azure.

A continuación, verá una descripción general del flujo de solicitud del código de autorización de OAuth 2.0:

  1. El cliente dirige al usuario al /authorize endpoint.

  2. Con esta solicitud, el cliente indica los permisos que tiene que adquirir de parte del usuario que necesita acceso. Para obtener su punto de conexión de autorización de OAuth 2.0 para su suscriptor, puede ir a Registros de aplicación > Puntos de conexión en el Azure Portal.

  3. En la aplicación nativa, se le indica al usuario que se conecte y autorice los permisos solicitados por la aplicación. Cuando el usuario se autentica y otorga su consentimiento, Microsoft Entra ID enviará una respuesta a su solicitud en la dirección redirect_uri de su solicitud.

    // Line breaks for legibility only

https://login.microsoftonline.com/{tenant}/oauth2/authorize?
client_id=
&response_type=code
&redirect_uri=http%3A%2F%2Flocalhost%3A12345
&response_mode=query
&resource=https%3A%2F%2Fservice.contoso.com%2F
&state=12345

    Los dos tipos de respuesta son:

    • Respuesta satisfactoria: una respuesta satisfactoria otorgará acceso e incluirá el consentimiento del administrador, el código de autorización que solicitó la aplicación, un valor de sesión único y un parámetro de estado.
    • Respuesta fallida: una respuesta fallida no otorgará un código de autorización. La respuesta fallida incluye el valor del código de error, la descripción del error y el valor del estado.

    Con una respuesta satisfactoria, se otorga un código de autorización y se le da acceso al usuario.

  4. El código ya se puede canjear por un token de acceso al recurso deseado. Esto se consigue enviando una solicitud POST al punto de conexión /token.

  5. Ante una respuesta satisfactoria, Microsoft Entra ID devuelve un token de acceso. El token de acceso es un JSON Web Token (JWT).

  6. Cuando se solicita el token de acceso, Microsoft Entra ID devuelve metadatos sobre el token de acceso para que se use la aplicación. El cliente debe almacenar en caché los tokens de acceso durante la duración del token especificado dentro de la respuesta OAuth2. Una API web puede devolver una respuesta invalid_token. Esto podría deberse a un token caducado.

  7. Cuando se obtiene el token de acceso, se puede usar en solicitudes a API web.