Microsoft Graph-alkalmazás regisztrálása

  • Cikk

A Microsoft Graph lehetővé teszi az Azure AD B2C-bérlő számos erőforrásának kezelését, beleértve az ügyfél-felhasználói fiókokat és az egyéni szabályzatokat. A Microsoft Graph API-t meghívó szkriptek vagy alkalmazások írásával automatizálhatja a bérlőkezelési feladatokat, például:

  • Meglévő felhasználói tároló migrálása Azure AD B2C-bérlőbe
  • Egyéni szabályzatok üzembe helyezése azure-folyamattal az Azure DevOpsban, és egyéni szabályzatkulcsok kezelése
  • Felhasználói regisztrációt üzemeltethet a saját oldalán, és felhasználói fiókokat hozhat létre az Azure AD B2C-címtárban a színfalak mögött
  • Alkalmazásregisztráció automatizálása
  • Naplók beszerzése

Az alábbi szakaszok segítenek felkészülni arra, hogy a Microsoft Graph API használatával automatizálhassa az Erőforrások felügyeletét az Azure AD B2C-címtárban.

Microsoft Graph API interakciós módok

Az Azure AD B2C-bérlő erőforrásainak kezelésekor a Microsoft Graph API-val két kommunikációs mód használható:

  • Interaktív – Az egyszeri futtatási feladatokhoz a B2C-bérlőben található rendszergazdai fiókkal hajthatja végre a felügyeleti feladatokat. Ez a mód megköveteli, hogy a rendszergazda a Microsoft Graph API meghívása előtt jelentkezzen be a hitelesítő adataival.

  • Automatizált – Ütemezett vagy folyamatosan futtatott feladatok esetén ez a módszer egy olyan szolgáltatásfiókot használ, amelyet a felügyeleti feladatok elvégzéséhez szükséges engedélyekkel konfigurál. A "szolgáltatásfiókot" az Azure AD B2C-ben úgy hozhatja létre, hogy regisztrál egy alkalmazást, amelyet az alkalmazások és szkriptek használnak a hitelesítéshez az alkalmazás (ügyfél) azonosítójával és az OAuth 2.0 ügyfél hitelesítő adataival. Ebben az esetben az alkalmazás önmagában is meghívja a Microsoft Graph API-t, nem pedig a rendszergazda felhasználót, mint a korábban ismertetett interaktív módszerben.

Az automatizált interakciós forgatókönyvet az alábbi szakaszokban látható alkalmazásregisztráció létrehozásával engedélyezheti.

Az Azure AD B2C hitelesítési szolgáltatás közvetlenül támogatja az OAuth 2.0 ügyfél hitelesítő adatainak megadását (jelenleg nyilvános előzetes verzióban), de nem használhatja az Azure AD B2C-erőforrások Microsoft Graph API-n keresztüli kezelésére. Azonban beállíthatja az ügyfél hitelesítő adatait a Microsoft Entra ID és a Microsoft Identitásplatform /token végpont használatával egy alkalmazáshoz az Azure AD B2C-bérlőben.

Felügyeleti alkalmazás regisztrálása

Mielőtt a szkriptek és alkalmazások együttműködhetnek a Microsoft Graph API-val az Azure AD B2C-erőforrások kezeléséhez, létre kell hoznia egy alkalmazásregisztrációt az Azure AD B2C-bérlőben, amely megadja a szükséges API-engedélyeket.

  1. Jelentkezzen be az Azure Portalra.
  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
  3. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
  4. Válassza a Alkalmazásregisztrációk, majd az Új regisztráció lehetőséget.
  5. Adja meg az alkalmazás nevét. Például: managementapp1.
  6. Csak ebben a szervezeti címtárban válassza a Fiókok lehetőséget.
  7. Az Engedélyek területen törölje a jelet a Rendszergazdai hozzájárulás megadása a megnyitáshoz és az engedélyek offline_access jelölőnégyzetből.
  8. Válassza ki a pénztárgépet.
  9. Jegyezze fel az alkalmazás áttekintési oldalán megjelenő alkalmazás-(ügyfél-) azonosítót . Ezt az értéket egy későbbi lépésben használhatja.

API-hozzáférés biztosítása

Ahhoz, hogy az alkalmazás hozzáférjen az adatokhoz a Microsoft Graph-ban, adja meg a regisztrált alkalmazásnak a megfelelő alkalmazásengedélyeket. Az alkalmazás érvényes engedélyei az engedély által sugallt jogosultságok teljes szintje. Az Azure AD B2C-bérlő minden felhasználójának létrehozásához, olvasásához, frissítéséhez és törléséhez például adja hozzá a User.ReadWrite.All engedélyt.

Megjegyzés:

A User.ReadWrite.All engedély nem tartalmazza a felhasználói fiók jelszavának frissítését. Ha az alkalmazásnak frissítenie kell a felhasználói fiók jelszavát, adjon meg felhasználói rendszergazdai szerepkört. A felhasználói rendszergazdai szerepkör megadásakor a User.ReadWrite.All nem szükséges. A felhasználói rendszergazdai szerepkör tartalmazza a felhasználók kezeléséhez szükséges összes elemet.

Az alkalmazásnak több alkalmazásengedélyt is adhat. Ha például az alkalmazásnak az Azure AD B2C-bérlőben is kezelnie kell a csoportokat, adja hozzá a Group.ReadWrite.All engedélyt is.

Alkalmazásregisztrációk

  1. A Kezelés területen válassza ki az API-engedélyeket.
  2. A Konfigurált engedélyek csoportban válassza az Engedély hozzáadása lehetőséget.
  3. Válassza a Microsoft API-k lapot, majd a Microsoft Graphot.
  4. Válassza ki az alkalmazásengedélyeket.
  5. Bontsa ki a megfelelő engedélycsoportot, és jelölje be a felügyeleti alkalmazásnak adható engedély jelölőnégyzetét. For example:
    • User>User.ReadWrite.All: Felhasználói migrálási vagy felhasználókezelési forgatókönyvekhez.
    • Group>Group.ReadWrite.All: Csoportok létrehozására, csoporttagságok olvasására és frissítésére, valamint csoportok törlésére.
    • AuditLog>AuditLog.Read.All: A címtár naplóinak olvasásához.
    • Policy>Policy.ReadWrite.TrustFramework: Folyamatos integrációs/folyamatos kézbesítési (CI/CD) forgatókönyvekhez. Például egyéni szabályzatok üzembe helyezése az Azure Pipelines használatával.
  6. Jelölje be az Engedélyek hozzáadása lehetőséget. Az utasításnak megfelelően várjon néhány percet, mielőtt továbblép a következő lépésre.
  7. Válassza a rendszergazdai hozzájárulás megadása (a bérlő neve) lehetőséget.
  8. Jelentkezzen be egy fiókkal az Azure AD B2C-bérlőben, amelyhez hozzá van rendelve a Cloud Application Rendszergazda istrator szerepkör, majd válassza a rendszergazdai hozzájárulás megadása (a bérlő neve) lehetőséget.
  9. Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy a "Megadott..." a Status (Állapot) területen jelenik meg. Az engedélyek propagálása eltarthat néhány percig.

[Nem kötelező] Felhasználói rendszergazdai szerepkör megadása

Ha az alkalmazásnak vagy a szkriptnek frissítenie kell a felhasználók jelszavát, hozzá kell rendelnie a felhasználói rendszergazdai szerepkört az alkalmazáshoz. A felhasználói rendszergazdai szerepkör rögzített engedélykészlettel rendelkezik, amelyet az alkalmazásnak ad meg.

A felhasználói rendszergazdai szerepkör hozzáadásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.
  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
  3. Keresse meg és válassza ki az Azure AD B2C-t.
  4. A Kezelés csoportban válassza a Szerepkörök és rendszergazdák lehetőséget.
  5. Válassza ki a felhasználói rendszergazdai szerepkört.
  6. Select Add assignments.
  7. A Szöveg kijelölése mezőbe írja be a korábban regisztrált alkalmazás nevét vagy azonosítóját, például a managementapp1 nevet vagy azonosítót. Amikor megjelenik a keresési eredmények között, válassza ki az alkalmazást.
  8. Válassza a Hozzáadás lehetőséget. Az engedélyek teljes propagálása eltarthat néhány percig.

Titkos ügyfélkód létrehozása

Az alkalmazásnak szüksége van egy titkos ügyfélkódra, amely igazolja a személyazonosságát egy jogkivonat kérésekor. Az ügyfél titkos kódjának hozzáadásához kövesse az alábbi lépéseket:

  1. A Kezelés csoportban válassza a Tanúsítványok titkos kulcsok& lehetőséget.
  2. Válassza az Új titkos ügyfélkód lehetőséget.
  3. Írja be az ügyfél titkos kódjának leírását a Leírás mezőbe. Például: clientsecret1.
  4. A Lejáratok csoportban válassza ki azt az időtartamot, amelyre érvényes a titkos kód, majd válassza a Hozzáadás lehetőséget.
  5. Jegyezze fel a titkos kód értékét. Ezt az értéket egy későbbi lépésben konfigurálhatja.

További lépések

Most, hogy regisztrálta a felügyeleti alkalmazást, és megadta neki a szükséges engedélyeket, az alkalmazások és szolgáltatások (például az Azure Pipelines) használhatják a hitelesítő adatait és engedélyeit a Microsoft Graph API-val való interakcióhoz.