Rövid útmutató: Alkalmazás konfigurálása webes API-k közzétételéhez

  • Cikk

Ebben a rövid útmutatóban regisztrál egy webes API-t a Microsoft Identitásplatform, és egy hatókör hozzáadásával teszi elérhetővé az ügyfélalkalmazások számára. Ha regisztrálja a webes API-t, és hatókörökön keresztül teszi elérhetővé, tulajdonosi és alkalmazásszerepkört rendel hozzá, engedélyeken alapuló hozzáférést biztosíthat az erőforrásaihoz az API-t elérő jogosult felhasználók és ügyfélalkalmazások számára.

Előfeltételek

A webes API regisztrálása

Az API-khoz való hozzáféréshez hozzáférési hatókörök és szerepkörök konfigurálása szükséges. Ha el szeretné helyezni az erőforrásalkalmazás webes API-jait az ügyfélalkalmazások számára, konfigurálja az API hozzáférési hatóköreit és szerepköreit. Ha azt szeretné, hogy egy ügyfélalkalmazás hozzáférjen egy webes API-hoz, konfiguráljon engedélyeket az API-hoz való hozzáféréshez az alkalmazásregisztrációban.

Ahhoz, hogy hatókörön belüli hozzáférést biztosítson a webes API erőforrásaihoz, először regisztrálnia kell az API-t a Microsoft Identitásplatform.

Hajtsa végre a gyorsútmutató alkalmazás regisztrálása szakaszának lépéseit: Alkalmazás regisztrálása a Microsoft Identitásplatform.

Hagyja ki az Átirányítási URI (nem kötelező) szakaszt. Nem kell átirányítási URI-t konfigurálnia egy webes API-hoz, mivel a rendszer nem jelentkezik be interaktívan.

Alkalmazástulajdonos hozzárendelése

  1. Az alkalmazásregisztrációban a Kezelés területen válassza a Tulajdonosok és a Tulajdonosok hozzáadása lehetőséget.
  2. Az új ablakban keresse meg és válassza ki az alkalmazáshoz hozzárendelni kívánt tulajdonos(ok)t. A kijelölt tulajdonosok a jobb oldali panelen jelennek meg. Ha végzett, erősítse meg a Kiválasztás lehetőséget. Az alkalmazástulajdonos(ok) ekkor megjelennek a tulajdonos listájában.

Megjegyzés:

Győződjön meg arról, hogy mind az API-alkalmazás, mind a hozzáadni kívánt alkalmazás rendelkezik tulajdonossal, ellenkező esetben az API nem jelenik meg az API-engedélyek kérésekor.

Alkalmazásszerepkör hozzárendelése

  1. Az alkalmazásregisztrációban a Kezelés területen válassza az Alkalmazásszerepkörök és az Alkalmazásszerepkör létrehozása lehetőséget.

  2. Ezután adja meg az alkalmazásszerepkör attribútumait az Alkalmazásszerepkör létrehozása panelen. Ehhez az útmutatóhoz használhatja a példaértékeket, vagy megadhatja a sajátját.

    Mező Description Példa
    Megjelenített név Az alkalmazásszerepkör neve Alkalmazotti rekordok
    Engedélyezett tagtípusok Meghatározza, hogy az alkalmazásszerepkör hozzárendelhető-e felhasználókhoz/csoportokhoz és/vagy alkalmazásokhoz Alkalmazások
    Érték A jogkivonat "szerepkörök" jogcímében megjelenített érték Employee.Records
    Ismertetés Az alkalmazásszerepkör részletesebb leírása Az alkalmazások hozzáférhetnek az alkalmazottak rekordjaihoz

  3. Jelölje be a jelölőnégyzetet az alkalmazásszerepkör engedélyezéséhez.

Ha a webes API regisztrálva van, hozzárendelt egy alkalmazásszerepkört és egy tulajdonost, hatóköröket vehet fel az API kódjába, hogy részletes engedélyt biztosítson a felhasználóknak.

Hatókör hozzáadása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az ügyfélalkalmazás kódja engedélyt kér a webes API által meghatározott műveletek végrehajtására azáltal, hogy egy hozzáférési jogkivonatot és annak kéréseit átadja a védett erőforrásnak (a webes API-nak). A webes API ezután csak akkor hajtja végre a kért műveletet, ha a kapott hozzáférési jogkivonat tartalmazza a művelethez szükséges hatóköröket.

Először az alábbi lépéseket követve hozzon létre egy példahatókört:Employees.Read.All

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Ha több bérlőhöz is hozzáfér, a felső menüben található Gépház ikonnalválthat arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.

  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az API alkalmazásregisztrációját.

  4. API-k felfedése lehetőség kiválasztása

  5. Ha még nem konfigurált egyet, válassza a Hozzáadás az alkalmazásazonosító URI mellett lehetőséget.

    Használhatja az alapértelmezett értéket api://<application-client-id> vagy egy másik támogatott alkalmazásazonosító URI-mintát. Az alkalmazásazonosító URI az API kódjában hivatkozni kívánt hatókörök előtagjaként működik, és globálisan egyedinek kell lennie.

  6. Válassza a Hatókör hozzáadása lehetőséget:

    An app registration's Expose an API pane in the Azure portal

  7. Ezután adja meg a hatókör attribútumait a Hatókör hozzáadása panelen. Ehhez az útmutatóhoz használhatja a példaértékeket, vagy megadhatja a sajátját.

    Mező Description Példa
    Hatókör neve A hatókör neve. A hatókör elnevezési konvenciója gyakran a .resource.operation.constraint Employees.Read.All
    Ki adhat hozzájárulást? Azt, hogy a felhasználók jóváhagyhatják-e ezt a hatókört, vagy rendszergazdai hozzájárulásra van szükség. Magasabb jogosultsági szintű engedélyeknél válassza a Csak rendszergazdák lehetőséget. Rendszergazda és felhasználók
    Rendszergazdai hozzájárulás megjelenítendő neve A hatókör céljának rövid leírása, amelyet csak a rendszergazdák láthatnak. Read-only access to Employee records
    Rendszergazdai jóváhagyás leírása A hatókör által megadott engedély részletesebb leírása, amelyet csak a rendszergazdák láthatnak. Allow the application to have read-only access to all Employee data.
    Felhasználói jóváhagyás megjelenítendő neve A hatókör céljának rövid leírása. Csak akkor jelenik meg a felhasználók számára, ha beállítja, hogy ki járulhat hozzá Rendszergazda és felhasználókhoz. Read-only access to your Employee records
    Felhasználói jóváhagyás leírása A hatókör által megadott engedély részletesebb leírása. Csak akkor jelenik meg a felhasználók számára, ha beállítja, hogy ki járulhat hozzá Rendszergazda és felhasználókhoz. Allow the application to have read-only access to your Employee data.

  8. Állítsa az állapotot Engedélyezve értékre, majd válassza a Hatókör hozzáadása lehetőséget.

  9. (Nem kötelező) Ha el szeretné tiltani, hogy az alkalmazás felhasználói hozzájárulást kérjenek az Ön által meghatározott hatókörökhöz, előzetesen engedélyezheti az ügyfélalkalmazás számára a webes API elérését. Csak azokat az ügyfélalkalmazásokat engedélyezze előre, amelyekben megbízik, mivel a felhasználóknak nem lesz lehetőségük elutasítani a hozzájárulást.

    1. Az Engedélyezett ügyfélalkalmazások csoportban válassza az Ügyfélalkalmazás hozzáadása lehetőséget
    2. Adja meg annak az ügyfélalkalmazásnak az alkalmazás-(ügyfél-) azonosítóját , amelyet előzetesen engedélyezni szeretne. Ilyen például egy korábban regisztrált webalkalmazás.
    3. Az Engedélyezett hatókörök csoportban válassza ki azokat a hatóköröket, amelyekhez el szeretné tiltani a hozzájárulás kérését, majd válassza az Alkalmazás hozzáadása lehetőséget.

    Ha követte ezt az opcionális lépést, az ügyfélalkalmazás mostantól egy előre engedélyezett ügyfélalkalmazás (PCA), és a felhasználók nem kérik a hozzájárulásukat a bejelentkezéskor.

Ezután adjon hozzá egy másik példahatókört Employees.Write.All , amelyet csak a rendszergazdák tudnak jóváhagyni. A rendszergazdai hozzájárulást igénylő hatóköröket általában a magasabb jogosultságú műveletekhez való hozzáférés biztosítására használják, és gyakran olyan ügyfélalkalmazások, amelyek háttérszolgáltatásként vagy démonként futnak, amelyek nem jelentkeznek be interaktívan a felhasználóba.

A Employees.Write.All példahatókör hozzáadásához kövesse a Hatókör hozzáadása szakasz lépéseit, és adja meg ezeket az értékeket a Hatókör hozzáadása panelen:

Mező Példaérték
Hatókör neve Employees.Write.All
Ki adhat hozzájárulást? csak Rendszergazda
Rendszergazdai hozzájárulás megjelenítendő neve Write access to Employee records
Rendszergazdai jóváhagyás leírása Allow the application to have write access to all Employee data.
Felhasználói jóváhagyás megjelenítendő neve Nincs (hagyja üresen)
Felhasználói jóváhagyás leírása Nincs (hagyja üresen)

Állítsa az állapotot Engedélyezve értékre, majd válassza a Hatókör hozzáadása lehetőséget.

A közzétett hatókörök ellenőrzése

Ha sikeresen hozzáadta az előző szakaszokban leírt mindkét példahatókört, azok a webes API alkalmazásregisztrációjának Api-jának közzététele panelen jelennek meg, az alábbi képhez hasonlóan:

Screenshot of the Expose an API pane showing two exposed scopes.

Ahogy a képen látható, a hatókör teljes sztringje a webes API alkalmazásazonosítójának URI-jának és a hatókör hatókörének nevének összefűzése.

Ha például a webes API alkalmazásazonosítójának URI-ja és https://contoso.com/api a hatókör neve, Employees.Read.Alla teljes hatókör a következő:

https://contoso.com/api/Employees.Read.All

A közzétett hatókörök használata

A sorozat következő cikkében konfigurálja az ügyfélalkalmazás regisztrációját a webes API-hoz való hozzáféréssel, valamint a jelen cikkben ismertetett lépések végrehajtásával definiált hatókörökkel.

Miután az ügyfélalkalmazás-regisztráció engedélyt kapott a webes API eléréséhez, az ügyfél egy OAuth 2.0 hozzáférési jogkivonatot bocsáthat ki az identitásplatformon. Amikor az ügyfél meghívja a webes API-t, egy hozzáférési jogkivonatot jelenít meg, amelynek hatóköri (scp) jogcíme az ügyfél alkalmazásregisztrációjában megadott engedélyekre van beállítva.

A későbbiekben igény szerint további hatóköröket is közzétehet. Vegye figyelembe, hogy a webes API több művelethez társított hatókört is elérhetővé tehet. Az erőforrás futásidőben szabályozhatja a webes API-hoz való hozzáférést a kapott OAuth 2.0 hozzáférési jogkivonat hatóköri (scp) jogcímeinek kiértékelésével.

További lépések

Most, hogy közzétette a webes API-t a hatókörök konfigurálásával, konfigurálja az ügyfélalkalmazás regisztrációját a hatókörök elérésére vonatkozó engedélyekkel.

Alkalmazásregisztráció konfigurálása webes API-hozzáféréshez