Megosztás a következőn keresztül:

Rövid útmutató: Ügyfélalkalmazás konfigurálása webes API eléréséhez

  • Cikk

Ebben a rövid útmutatóban a Microsoft-identitásplatformon regisztrált ügyfélalkalmazásnak megadott hatókörre vonatkozó és engedélyeken alapuló hozzáférést ad az Ön saját webes API-jához. A Microsoft Graphhoz is hozzáférést biztosít az ügyfélalkalmazásnak.

Ha megadja egy webes API hatóköreit az ügyfélalkalmazás regisztrációjában, az ügyfélalkalmazás beszerezheti a hatóköröket tartalmazó hozzáférési jogkivonatot a Microsoft Identitásplatform. A webes API a kódján belül engedélyalapú hozzáférést biztosíthat az erőforrásaihoz a hozzáférési jogkivonatban található hatókörök alapján.

Előfeltételek

Engedélyek hozzáadása a webes API eléréséhez

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az API-khoz való hozzáféréshez hozzáférési hatókörök és szerepkörök konfigurálása szükséges. Ha el szeretné helyezni az erőforrásalkalmazás webes API-jait az ügyfélalkalmazások számára, konfigurálja az API hozzáférési hatóköreit és szerepköreit. Ha azt szeretné, hogy egy ügyfélalkalmazás hozzáférjen egy webes API-hoz, konfiguráljon engedélyeket az API-hoz való hozzáféréshez az alkalmazásregisztrációban.

Az első forgatókönyvben hozzáférést ad egy ügyfélalkalmazásnak a saját webes API-hoz, amelynek mindkettőt regisztrálnia kellett volna az előfeltételek részeként. Ha még nem rendelkezik ügyfélalkalmazással és webes API-val, végezze el a lépéseket a két előfeltételekről szóló cikkben.

Ez az ábra bemutatja, hogyan kapcsolódik egymáshoz a két alkalmazásregisztráció. Ebben a szakaszban engedélyeket ad hozzá az ügyfélalkalmazás regisztrációhoz.

Vonaldiagram egy webes API-ról, amelyen a jobb oldalon közzétett hatókörök, a bal oldalon pedig egy ügyfélalkalmazás látható, engedélyként kijelölt hatókörökkel

Miután regisztrálta az ügyfélalkalmazást és a webes API-t is, és hatókörök létrehozásával tette közzé az API-t, az alábbi lépések végrehajtásával konfigurálhatja az ügyfél engedélyeit az API-hoz:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.

  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást (nem a webes API-t).

  4. Válassza az API-engedélyeket>: Engedély>hozzáadása Saját API-k.

  5. Válassza ki az előfeltételek részeként regisztrált webes API-t.

    A delegált engedélyek alapértelmezés szerint ki lesznek választva. A delegált engedélyek olyan ügyfélalkalmazások számára megfelelőek, amelyek bejelentkezett felhasználóként férnek hozzá a webes API-hoz, és akiknek a hozzáférését a következő lépésben kiválasztott engedélyekre kell korlátozni. Hagyja kijelölve a példában kijelölt delegált engedélyeket .

    Az alkalmazásengedélyek olyan szolgáltatás- vagy démon típusú alkalmazásokhoz tartoznak, amelyeknek saját maguknak kell hozzáférniük egy webes API-hoz anélkül, hogy felhasználói beavatkozást kellene használniuk a bejelentkezéshez vagy a hozzájáruláshoz. Ha nem definiált alkalmazásszerepköröket a webes API-hoz, ez a beállítás le van tiltva.

  6. Az Engedélyek kiválasztása csoportban bontsa ki azt az erőforrást, amelynek hatóköreit a webes API-hoz definiálta, és válassza ki azokat az engedélyeket, amelyeket az ügyfélalkalmazásnak rendelkeznie kell a bejelentkezett felhasználó nevében.

    Ha az előző rövid útmutatóban megadott példahatókör-neveket használta, az Employees.Read.All és az Employees.Write.All nevet kell látnia. Válassza az Employees.Read.All vagy más, az előfeltételek teljesítésekor létrehozott engedélyt.

  7. Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.

Miután hozzáadta az engedélyeket az API-hoz, a kiválasztott engedélyeknek a Konfigurált engedélyek területen kell megjelennie. Az alábbi képen az Employees.Read.All delegált engedély látható, amely hozzá van adva az ügyfélalkalmazás regisztrációhoz.

Konfigurált engedélyek panel az Azure Portalon az újonnan hozzáadott engedélyekkel

A Microsoft Graph API User.Read engedélyét is megfigyelheti. Ez az engedély automatikusan hozzáadódik, amikor regisztrál egy alkalmazást az Azure Portalon.

A Microsoft Graph eléréséhez szükséges engedélyek megadása

A bejelentkezett felhasználó nevében a saját webes API-hoz való hozzáférés mellett előfordulhat, hogy az alkalmazásnak hozzá kell férnie vagy módosítania kell a felhasználó Microsoft Graph-ban tárolt (vagy egyéb) adatait. Vagy rendelkezhet olyan szolgáltatással vagy démonalkalmazással, amely önmagában is hozzá kell férnie a Microsoft Graphhoz, és felhasználói beavatkozás nélkül hajt végre műveleteket.

Delegált engedély a Microsoft Graph számára

Konfiguráljon delegált engedélyt a Microsoft Graph számára, hogy az ügyfélalkalmazás műveleteket hajtson végre a bejelentkezett felhasználó nevében, például elolvassa az e-mail-címét, vagy módosítsa a profilját. Alapértelmezés szerint az ügyfélalkalmazás felhasználóit a rendszer arra kéri, hogy jelentkezzenek be, hogy hozzájáruljanak az Ön által konfigurált delegált engedélyekhez.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.

  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást.

  4. API-engedélyek>kiválasztása Engedély>hozzáadása Microsoft Graph

  5. Válassza a Delegált engedélyek lehetőséget. A Microsoft Graph számos engedélyt tesz elérhetővé, és a leggyakrabban használt engedélyek a lista tetején jelennek meg.

  6. Az Engedélyek kiválasztása csoportban válassza ki a következő engedélyeket:

    Engedély Leírás
    email Felhasználók e-mail-címének megtekintése
    offline_access Adathozzáférés fenntartása, amelyhez engedélyt adott
    openid Felhasználók bejelentkezése
    profile Felhasználók alapprofiljának megtekintése

  7. Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.

Amikor engedélyeket konfigurál, az alkalmazás felhasználóit a rendszer a bejelentkezéskor arra kéri, hogy engedélyezze az alkalmazás számára az erőforrás API-hoz való hozzáférést a nevükben.

Rendszergazdaként az összes felhasználó nevében is adhat hozzájárulást, így a rendszer nem kéri őket erre. A rendszergazdai hozzájárulást a cikk További api-engedélyek és rendszergazdai hozzájárulás című szakaszában tárgyaljuk.

Alkalmazásengedély a Microsoft Graphhoz

Konfiguráljon alkalmazásengedélyeket olyan alkalmazásokhoz, amelyeknek felhasználói beavatkozás vagy hozzájárulás nélkül kell hitelesíteni magukat. Az alkalmazásengedélyeket általában háttérszolgáltatások vagy démonalkalmazások használják, amelyek "fej nélküli" módon férnek hozzá egy API-hoz, valamint egy másik (lefelé irányuló) API-t elérő webes API-k.

A következő lépésekben például engedélyt ad a Microsoft Graph Files.Read.All engedélyének.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.

  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást.

  4. API-engedélyek kiválasztása Engedély hozzáadása Microsoft Graph-alkalmazásengedélyek> hozzáadása.>>

  5. A Microsoft Graph által közzétett összes engedély a Kiválasztás engedélyek területen jelenik meg.

  6. Válassza ki az alkalmazásnak adni kívánt engedélyt vagy engedélyeket. Előfordulhat például, hogy rendelkezik egy démonalkalmazással, amely a szervezet fájljait vizsgálja, és egy adott fájltípusra vagy névre riasztást küld.

    Az Engedélyek kiválasztása csoportban bontsa ki a Fájlok elemet, majd válassza a Files.Read.All engedélyt.

  7. Jelölje be az Engedélyek hozzáadása lehetőséget.

Bizonyos engedélyekhez, például a Microsoft Graph Files.Read.All engedélyéhez rendszergazdai hozzájárulásra van szükség. A rendszergazdai hozzájárulás megadásához kattintson a Rendszergazdai hozzájárulás megadása gombra, amelyről a Rendszergazdai hozzájárulás gomb szakasz későbbi részében olvashat.

Ügyfél hitelesítő adatainak konfigurálása

Az alkalmazásengedélyeket használó alkalmazások saját hitelesítő adataikkal hitelesítik magukat, felhasználói beavatkozás nélkül. Ahhoz, hogy az alkalmazás (vagy API) hozzáférhessen a Microsoft Graphhoz, a saját webes API-hoz vagy egy másik API-hoz alkalmazásengedélyek használatával, konfigurálnia kell az ügyfélalkalmazás hitelesítő adatait.

Az alkalmazás hitelesítő adatainak konfigurálásáról további információt a Gyorsútmutató hitelesítő adatok hozzáadása szakaszában talál: Alkalmazás regisztrálása a Microsoft Identitásplatform.

Az alkalmazásregisztráció API-engedélypanelje egy Konfigurált engedélytáblát tartalmaz, és tartalmazhat egy Egyéb engedélyekkel rendelkező táblát is. A táblákat és a Rendszergazdai hozzájárulás gombot a következő szakaszok ismertetik.

Konfigurált engedélyek

Az API-engedélyek panel Konfigurált engedélyek táblája megjeleníti azokat az engedélyeket, amelyekre az alkalmazásnak szüksége van az alapművelethez – a szükséges erőforrás-hozzáférési (RRA- ) listára. A felhasználóknak vagy rendszergazdáiknak hozzá kell adniuk ezeket az engedélyeket az alkalmazás használata előtt. Egyéb, választható engedélyek később, futásidőben kérhetők (dinamikus hozzájárulással).

Ez azoknak az engedélyeknek a minimális listája, amelyekhez a felhasználóknak hozzá kell majd adniuk az alkalmazáshoz való hozzájárulást. Több is lehet, de ezekre mindig szükség lesz. A biztonság érdekében és annak érdekében, hogy a felhasználók és a rendszergazdák kényelmesebben használják az alkalmazást, soha ne kérjen semmit, amire nincs szüksége.

A táblázatban megjelenő engedélyeket a fenti lépések vagy a megadott egyéb engedélyek (a következő szakaszban ismertetett) segítségével adhatja hozzá vagy távolíthatja el. Rendszergazdaként rendszergazdai hozzájárulást adhat a táblában megjelenő API-engedélyek teljes készletéhez, és visszavonhatja az egyes engedélyekhez való hozzájárulást.

Egyéb megadott engedélyek

Az API-engedélyek panelen a(z) {a bérlő} számára megadott egyéb engedélyek című táblázat is megjelenhet. A (z) {a bérlő} táblához megadott Egyéb engedélyek az alkalmazásobjektumon nem explicit módon konfigurált bérlői szintű engedélyeket jelenítik meg. Ezeket az engedélyeket egy rendszergazda dinamikusan kérte és engedélyezte az összes felhasználó nevében. Ez a szakasz csak akkor jelenik meg, ha legalább egy engedély érvényes.

Hozzáadhatja egy API engedélyeinek teljes készletét vagy a táblázatot tartalmazó egyéni engedélyeket a Konfigurált engedélyek táblához. Rendszergazdaként visszavonhatja a rendszergazdai hozzájárulást az API-khoz vagy az egyes engedélyekhez ebben a szakaszban.

A (z) {a bérlő} rendszergazdai hozzájárulásának megadása gomb lehetővé teszi, hogy a rendszergazda hozzájáruljon az alkalmazáshoz konfigurált engedélyekhez. Amikor kiválasztja a gombot, megjelenik egy párbeszédpanel, amely a hozzájárulási művelet megerősítését kéri.

Az Azure Portal Konfigurált engedélyek paneljén kiemelt rendszergazdai hozzájárulás gomb

A hozzájárulás megadása után a rendszergazdai hozzájáruláshoz szükséges engedélyek a hozzájárulás megadását követően jelennek meg:

Engedélyek táblázatának konfigurálása az Azure Portalon a Files.Read.All engedélyhez megadott rendszergazdai hozzájárulással

A Rendszergazdai hozzájárulás megadása gomb le van tiltva , ha Ön nem rendszergazda, vagy ha nincs konfigurálva engedély az alkalmazáshoz. Ha rendelkezik megadott, de még nem konfigurált engedélyekkel, a Rendszergazdai jóváhagyás gombra kattintva felszólítást kap ezen engedélyek kezelésére. Az engedélyeket hozzáadhatja a konfigurált engedélyekhez, vagy eltávolíthatja őket.

Következő lépések

A sorozat következő rövid útmutatójában megtudhatja, hogyan konfigurálhatja, hogy mely fióktípusok férhetnek hozzá az alkalmazáshoz. Előfordulhat például, hogy csak a szervezet (egybérlős) felhasználói számára szeretné korlátozni a hozzáférést, vagy engedélyezni szeretné a többi Microsoft Entra-bérlő (több-bérlős) és a személyes Microsoft-fiókkal (MSA) rendelkező felhasználók számára.

Alkalmazás által támogatott fiókok módosítása