Partage via


Configurer le gestionnaire d’informations d’identification – API Microsoft Graph

S’APPLIQUE À : tous les niveaux de Gestion des API

Cet article vous guide tout au long des étapes nécessaires pour créer une connexion managée à l’API Microsoft Graph dans le service Gestion des API Azure. Le type d’autorisation par code d’autorisation est utilisé dans cet exemple.

Vous allez apprendre à effectuer les actions suivantes :

  • Créer un proxy d’application Microsoft Entra
  • Créer et configurer un fournisseur d’informations d’identification dans Gestion des API
  • Configurer une connexion
  • Créer une API Microsoft Graph dans Gestion des API et configurer une stratégie
  • Tester votre API Microsoft Graph dans Gestion des API

Prérequis

Étape 1 : créer une application Microsoft Entra

Créez une application Microsoft Entra pour l’API et accordez-lui les autorisations appropriées pour les requêtes que vous souhaitez appeler.

  1. Connectez-vous au Portail Azure avec un compte disposant d’autorisations suffisantes dans le locataire.

  2. Sous Services Azure, sélectionnez Microsoft Entra ID.

  3. Dans le menu de gauche, sélectionnez Inscriptions d’applications, puis sélectionnez + Nouvelle inscription.

  4. Dans la page Inscrire une application, entrez les paramètres d’inscription de votre application :

    1. Dans Nom, entrez un nom explicite qui sera vu par les utilisateurs de l’application, par exemple MicrosoftGraphAuth.

    2. Dans Types de comptes pris en charge, sélectionnez une option adaptée à votre scénario, par exemple, Comptes dans cet annuaire d’organisation uniquement (locataire unique).

    3. Définissez l’URI de redirection sur Web, puis entrez https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>, en indiquant le nom du service Gestion des API dans lequel vous allez configurer le fournisseur d’informations d’identification.

    4. Sélectionnez Inscrire.

      Capture d’écran de la création d’une inscription d’application Microsoft Entra dans le portail.

  5. Dans le menu de gauche, sélectionnez Autorisations d’API, puis + Ajouter une autorisation. Capture d’écran de l’ajout d’une autorisation d’API dans le portail.

    1. Sélectionnez Microsoft Graph, puis Autorisations déléguées.

      Notes

      Vérifiez que l’autorisation User.Read avec le type Délégué a déjà été ajoutée.

    2. Tapez Team, développez les options Team, puis sélectionnez Team.ReadBasic.All. Sélectionnez Ajouter des autorisations.
    3. Ensuite, sélectionnez Accorder un consentement d’administrateur pour l’annuaire par défaut. L’état des autorisations passe à Accordé pour le répertoire par défaut.
  6. Dans le menu de gauche, sélectionnez Vue d’ensemble. Sur la page Vue d’ensemble, recherchez la valeur de l’ID d’application (client) et notez-la pour l’utiliser à l’étape 2.

  7. Dans le menu de gauche, sélectionnez Certificats et secrets, puis + Nouveau secret client.
    Capture d’écran de la création d’un secret d’application dans le portail.

    1. Entrez une Description.
    2. Sélectionnez une option pour Date d’expiration.
    3. Sélectionnez Ajouter.
    4. Copiez la Valeur du secret client avant de quitter la page. Vous en aurez besoin à l’étape 2.

Étape 2 : Configurer un fournisseur d’informations d’identification dans Gestion des API

  1. Connectez-vous au portail et accédez à votre instance Gestion des API.

  2. Dans le menu de gauche, sélectionnez Gestionnaire d’informations d’identification, puis + Créer.
    Capture d’écran de la création d’informations d’identification d’API dans le portail.

  3. Dans la page Créer un fournisseur d’informations d’identification, entrez les paramètres suivants, puis sélectionnez Créer :

    Paramètres Valeur
    Nom du fournisseur d’informations d’identification Nom de votre choix, tel que MicrosoftEntraID-01
    Fournisseur d’identité Sélectionnez Azure Active Directory v1.
    Type d’autorisation Sélectionnez Code d’autorisation.
    URL d’autorisation Optionnel pour le fournisseur d’identité Microsoft Entra. La valeur par défaut est https://login.microsoftonline.com.
    ID client Collez la valeur que vous avez copiée précédemment à partir de l’inscription de l’application
    Clé secrète client Collez la valeur que vous avez copiée précédemment à partir de l’inscription de l’application
    URL des ressources https://graph.microsoft.com
    Tenant ID Optionnel pour le fournisseur d’identité Microsoft Entra. La valeur par défaut est Common.
    Étendues Optionnel pour le fournisseur d’identité Microsoft Entra. Configuré automatiquement à partir des autorisations d’API de l’application Microsoft Entra.

Étape 3 : Configurer une connexion

Sous l’onglet Connexion, effectuez les étapes pour configurer votre connexion au fournisseur.

Remarque

Quand vous configurez une connexion, le service Gestion des API configure par défaut une stratégie d’accès qui permet l’accès par l’identité managée affectée par le système de l’instance. Cet accès est suffisant pour cet exemple. Vous pouvez ajouter des stratégies d’accès supplémentaires en fonction de vos besoins.

  1. Entrez un nom de connexion, puis sélectionnez Enregistrer.
  2. Sous Étape 2 : Se connecter à votre connexion (pour le type d’autorisation de code d’autorisation), sélectionnez le lien pour vous connecter au fournisseur d’informations d’identification. Effectuez les étapes pour autoriser l’accès, puis retournez à Gestion des API.
  3. Sous Étape 3 : Déterminer qui aura accès à cette connexion (stratégie d’accès), le membre d’identité managée est répertorié. L’ajout d’autres membres est facultatif, selon votre scénario.
  4. Cliquez sur Terminer.

La nouvelle connexion apparaît dans la liste des connexions et présente l’état Connecté. Si vous souhaitez créer une autre connexion pour le fournisseur d’informations d’identification, effectuez les étapes précédentes.

Conseil

Utilisez le portail pour ajouter, mettre à jour ou supprimer des connexions à un fournisseur d’informations d’identification à tout moment. Pour plus d’informations, consultez l’article Configurer plusieurs connexions.

Remarque

Si vous mettez à jour vos autorisations Microsoft Graph après cette étape, vous devrez répéter les étapes 2 et 3.

Étape 4 : Créer une API Microsoft Graph dans Gestion des API et configurer une stratégie

  1. Connectez-vous au portail et accédez à votre instance Gestion des API.

  2. Dans le menu de gauche, sélectionnez API > + Ajouter une API.

  3. Sélectionnez HTTP ou saisissez les paramètres suivants. Sélectionnez ensuite Créer.

    Paramètre Valeur
    Nom complet msgraph
    URL du service web https://graph.microsoft.com/v1.0
    Suffixe de l’URL de l’API msgraph
  4. Accédez à l’API nouvellement créée et sélectionnez Ajouter une opération. Entrez les paramètres suivants et sélectionnez Enregistrer.

    Paramètre Valeur
    Nom complet getprofile
    URL pour GET /me
  5. Suivez les étapes précédentes pour ajouter une autre opération avec les paramètres suivants.

    Paramètre Valeur
    Nom complet getJoinedTeams
    URL pour GET /me/joinedTeams
  6. Sélectionnez Toutes les opérations. Dans la section Traitement entrant, sélectionnez l’icône Éditeur de code (</>).

  7. Copiez et collez l’extrait suivant. Mettez à jour la get-authorization-contextstratégie avec les noms du fournisseur d’informations d’identification et de la connexion que vous avez configurés dans les étapes précédentes, et sélectionnez Enregistrer.

    • Remplacez le nom de votre fournisseur d’informations d’identification par la valeur de provider-id
    • Remplacez votre nom de connexion par la valeur de authorization-id
    <policies>
        <inbound>
            <base />
            <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
           <set-header name="Authorization" exists-action="override">
               <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
           </set-header>
        </inbound>
        <backend>
            <base />
        </backend>
        <outbound>
            <base />
        </outbound>
        <on-error>
            <base />
        </on-error>
    </policies>
    

La définition de stratégie précédente se compose de deux parties :

  • La stratégie get-authorization-context extrait un jeton d’autorisation en référençant le fournisseur d’informations d’identification et la connexion qui ont été créés précédemment.
  • La stratégie set-header crée un en-tête HTTP avec le jeton d’accès extrait.

Étape 5 : Tester l’API

  1. Sous l’onglet Test, sélectionnez une opération que vous avez configurée.

  2. Sélectionnez Envoyer.

    Capture d’écran illustrant le test de l’API Graph sur le portail.

    Une réponse réussie retourne les données utilisateur de Microsoft Graph.