Megosztás a következőn keresztül:


Rövid útmutató: Ügyfélalkalmazás konfigurálása webes API eléréséhez

Ebben a rövid útmutatóban a Microsoft-identitásplatformon regisztrált ügyfélalkalmazásnak megadott hatókörre vonatkozó és engedélyeken alapuló hozzáférést ad az Ön saját webes API-jához. A Microsoft Graphhoz is hozzáférést biztosít az ügyfélalkalmazásnak.

Ha megadja egy webes API hatóköreit az ügyfélalkalmazás regisztrációjában, az ügyfélalkalmazás beszerezheti a hatóköröket tartalmazó hozzáférési jogkivonatot a Microsoft Identitásplatform. A webes API a kódján belül engedélyalapú hozzáférést biztosíthat az erőforrásaihoz a hozzáférési jogkivonatban található hatókörök alapján.

Előfeltételek

Engedélyek hozzáadása a webes API eléréséhez

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az API-khoz való hozzáféréshez hozzáférési hatókörök és szerepkörök konfigurálása szükséges. Ha el szeretné helyezni az erőforrásalkalmazás webes API-jait az ügyfélalkalmazások számára, konfigurálhatja az API hozzáférési hatóköreit és szerepköreit. Ha azt szeretné, hogy egy ügyfélalkalmazás hozzáférjen egy webes API-hoz, az alkalmazásregisztrációban konfigurálja az API eléréséhez szükséges engedélyeket.

Ahhoz, hogy egy ügyfélalkalmazás hozzáférjen a saját webes API-hoz, két alkalmazásregisztrációval kell rendelkeznie;

Az ábra bemutatja, hogy a két alkalmazásregisztráció hogyan kapcsolódik egymáshoz, ahol az ügyfélalkalmazás különböző engedélytípusokkal rendelkezik, a webes API pedig különböző hatókörökkel rendelkezik, amelyeket az ügyfélalkalmazás elérhet. Ebben a szakaszban engedélyeket ad hozzá az ügyfélalkalmazás regisztrációhoz.

Vonaldiagram egy webes API-ról, amelyen a jobb oldalon közzétett hatókörök, a bal oldalon pedig egy ügyfélalkalmazás látható, engedélyként kijelölt hatókörökkel

Miután regisztrálta az ügyfélalkalmazást és a webes API-t is, és hatókörök létrehozásával tette közzé az API-t, az alábbi lépések végrehajtásával konfigurálhatja az ügyfél engedélyeit az API-hoz:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.

  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást (nem a webes API-t).

  4. Válassza ki az API-engedélyeket, majd adjon hozzá egy engedélyt , és válassza a Saját API-k lehetőséget az oldalsávon.

  5. Válassza ki az előfeltételek részeként regisztrált webes API-t, és válassza a Delegált engedélyek lehetőséget.

    • A delegált engedélyek olyan ügyfélalkalmazások számára megfelelőek, amelyek bejelentkezett felhasználóként férnek hozzá a webes API-hoz, és akiknek a hozzáférését a következő lépésben kiválasztott engedélyekre kell korlátozni. Hagyja kijelölve a példában kijelölt delegált engedélyeket .

    • Az alkalmazásengedélyek olyan szolgáltatás- vagy démon típusú alkalmazásokhoz tartoznak, amelyeknek saját maguknak kell hozzáférniük egy webes API-hoz anélkül, hogy felhasználói beavatkozást kellene használniuk a bejelentkezéshez vagy a hozzájáruláshoz. Ha nem definiált alkalmazásszerepköröket a webes API-hoz, ez a beállítás le van tiltva.

  6. Az Engedélyek kiválasztása csoportban bontsa ki azt az erőforrást, amelynek hatóköreit a webes API-hoz definiálta, és válassza ki azokat az engedélyeket, amelyeket az ügyfélalkalmazásnak rendelkeznie kell a bejelentkezett felhasználó nevében.

    • Ha az előző rövid útmutatóban megadott példahatókör-neveket használta, akkor az Employees.Read.All és Employees.Write.Alla .
  7. Válassza ki a létrehozott engedélyt az előfeltételek teljesítése során, például Employees.Read.All: .

  8. Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.

Miután hozzáadta az engedélyeket az API-hoz, a kiválasztott engedélyeknek a Konfigurált engedélyek területen kell megjelennie. Az alábbi képen az Employees.Read.All delegált engedély látható, amely hozzá van adva az ügyfélalkalmazás regisztrációhoz.

Konfigurált engedélyek panel az Azure Portalon az újonnan hozzáadott engedélyekkel

A Microsoft Graph API User.Read engedélyét is megfigyelheti. Ez az engedély automatikusan hozzáadódik, amikor regisztrál egy alkalmazást az Azure Portalon.

A Microsoft Graph eléréséhez szükséges engedélyek megadása

A bejelentkezett felhasználó nevében a saját webes API-hoz való hozzáférés mellett előfordulhat, hogy az alkalmazásnak hozzá kell férnie vagy módosítania kell a felhasználó Microsoft Graph-ban tárolt (vagy egyéb) adatait. Vagy rendelkezhet olyan szolgáltatással vagy démonalkalmazással, amely önmagában is hozzá kell férnie a Microsoft Graphhoz, és felhasználói beavatkozás nélkül hajt végre műveleteket.

Delegált engedély a Microsoft Graph számára

Konfiguráljon delegált engedélyt a Microsoft Graph számára, hogy az ügyfélalkalmazás műveleteket hajtson végre a bejelentkezett felhasználó nevében, például elolvassa az e-mail-címét, vagy módosítsa a profilját. Alapértelmezés szerint az ügyfélalkalmazás felhasználóit a rendszer arra kéri, hogy jelentkezzenek be, hogy hozzájáruljanak az Ön által konfigurált delegált engedélyekhez.

  1. Az ügyfélalkalmazás Áttekintés lapján válassza az API-engedélyeket>Engedély hozzáadása>Microsoft Graph

  2. Válassza a Delegált engedélyek lehetőséget. A Microsoft Graph számos engedélyt tesz elérhetővé, és a leggyakrabban használt engedélyek a lista tetején jelennek meg.

  3. Az Engedélyek kiválasztása csoportban válassza ki a következő engedélyeket:

    Engedély Leírás
    email Felhasználók e-mail-címének megtekintése
    offline_access Adathozzáférés fenntartása, amelyhez engedélyt adott
    openid Felhasználók bejelentkezése
    profile Felhasználók alapprofiljának megtekintése
  4. Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.

Amikor engedélyeket konfigurál, az alkalmazás felhasználóit a rendszer a bejelentkezéskor arra kéri, hogy engedélyezze az alkalmazás számára az erőforrás API-hoz való hozzáférést a nevükben.

Rendszergazdaként az összes felhasználó nevében is adhat hozzájárulást, így a rendszer nem kéri őket erre. A rendszergazdai hozzájárulást a cikk További api-engedélyek és rendszergazdai hozzájárulás című szakaszában tárgyaljuk.

Alkalmazásengedély a Microsoft Graphhoz

Konfiguráljon alkalmazásengedélyeket olyan alkalmazásokhoz, amelyeknek felhasználói beavatkozás vagy hozzájárulás nélkül kell hitelesíteni magukat. Az alkalmazásengedélyeket általában háttérszolgáltatások vagy démonalkalmazások használják, amelyek "fej nélküli" módon férnek hozzá egy API-hoz, valamint egy másik (lefelé irányuló) API-t elérő webes API-k.

A következő lépésekben például engedélyt ad a Microsoft Graph Files.Read.All engedélyének.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást.
  4. API-engedélyek kiválasztása Engedély hozzáadása Microsoft Graph-alkalmazásengedélyek> hozzáadása.>>
  5. A Microsoft Graph által közzétett összes engedély a Kiválasztás engedélyek területen jelenik meg.
  6. Válassza ki az alkalmazásnak adni kívánt engedélyt vagy engedélyeket. Előfordulhat például, hogy rendelkezik egy démonalkalmazással, amely a szervezet fájljait vizsgálja, és egy adott fájltípusra vagy névre riasztást küld. Az Engedélyek kiválasztása területen bontsa ki a Fájlok elemet, majd válassza ki az Files.Read.All engedélyt.
  7. Jelölje be az Engedélyek hozzáadása lehetőséget.
  8. Bizonyos engedélyekhez, például a Microsoft Graph Files.Read.All engedélyéhez rendszergazdai hozzájárulásra van szükség. A rendszergazdai hozzájárulás megadásához kattintson a Rendszergazdai hozzájárulás megadása gombra, amelyről a Rendszergazdai hozzájárulás gomb szakasz későbbi részében olvashat.

Ügyfél hitelesítő adatainak konfigurálása

Az alkalmazásengedélyeket használó alkalmazások saját hitelesítő adataikkal hitelesítik magukat, felhasználói beavatkozás nélkül. Ahhoz, hogy az alkalmazás (vagy API) hozzáférhessen a Microsoft Graphhoz, a saját webes API-hoz vagy egy másik API-hoz alkalmazásengedélyek használatával, konfigurálnia kell az ügyfélalkalmazás hitelesítő adatait.

Az alkalmazás hitelesítő adatainak konfigurálásáról további információt a Gyorsútmutató hitelesítő adatok hozzáadása szakaszában talál: Alkalmazás regisztrálása a Microsoft Identitásplatform.

Az alkalmazásregisztráció API-engedélyek panelje tartalmazza a Konfigurált engedélyek táblát és a Rendszergazdai hozzájárulás gombot, amelyet a következő szakaszokban ismertetünk.

Konfigurált engedélyek

Az API-engedélyek panel Konfigurált engedélyek táblája megjeleníti azokat az engedélyeket, amelyekre az alkalmazásnak szüksége van az alapművelethez – a szükséges erőforrás-hozzáférési (RRA- ) listára. A felhasználóknak vagy rendszergazdáiknak hozzá kell adniuk ezeket az engedélyeket az alkalmazás használata előtt. Egyéb, választható engedélyek később, futásidőben kérhetők (dinamikus hozzájárulással).

Ez azoknak az engedélyeknek a minimális listája, amelyekhez a felhasználóknak hozzá kell majd adniuk az alkalmazáshoz való hozzájárulást. Több is lehet, de ezekre mindig szükség lesz. A biztonság érdekében és annak érdekében, hogy a felhasználók és a rendszergazdák kényelmesebben használják az alkalmazást, soha ne kérjen semmit, amire nincs szüksége.

A táblázatban megjelenő engedélyeket a fenti lépések végrehajtásával veheti fel vagy távolíthatja el. Rendszergazdaként rendszergazdai hozzájárulást adhat a táblában megjelenő API-engedélyek teljes készletéhez, és visszavonhatja az egyes engedélyekhez való hozzájárulást.

A (z) {a bérlő} rendszergazdai hozzájárulásának megadása gomb lehetővé teszi, hogy a rendszergazda hozzájáruljon az alkalmazáshoz konfigurált engedélyekhez. Amikor kiválasztja a gombot, megjelenik egy párbeszédpanel, amely a hozzájárulási művelet megerősítését kéri.

Az Azure Portal Konfigurált engedélyek paneljén kiemelt rendszergazdai hozzájárulás gomb

A hozzájárulás megadása után a rendszergazdai hozzájáruláshoz szükséges engedélyek a hozzájárulás megadását követően jelennek meg:

Engedélyek táblázatának konfigurálása az Azure Portalon a Files.Read.All engedélyhez megadott rendszergazdai hozzájárulással

A Rendszergazdai hozzájárulás megadása gomb le van tiltva , ha Ön nem rendszergazda, vagy ha nincs konfigurálva engedély az alkalmazáshoz. Ha rendelkezik megadott, de még nem konfigurált engedélyekkel, a Rendszergazdai jóváhagyás gombra kattintva felszólítást kap ezen engedélyek kezelésére. Az engedélyeket hozzáadhatja a konfigurált engedélyekhez, vagy eltávolíthatja őket.

Alkalmazásengedélyek eltávolítása

Fontos, hogy ne adjon túl sok engedélyt egy alkalmazásnak a szükségesnél. A rendszergazdai hozzájárulás visszavonása egy engedélyhez az alkalmazásban;

  1. Lépjen az alkalmazáshoz, és válassza ki az API-engedélyeket.
  2. A Konfigurált engedélyek csoportban válassza ki az eltávolítani kívánt engedély melletti három elemet, és válassza az Eltávolítás engedély lehetőséget
  3. A megjelenő előugró ablakban válassza az Igen, eltávolítás lehetőséget az engedély rendszergazdai hozzájárulásának visszavonásához.

A sorozat következő rövid útmutatójában megtudhatja, hogyan konfigurálhatja, hogy mely fióktípusok férhetnek hozzá az alkalmazáshoz. Előfordulhat például, hogy csak a szervezet (egybérlős) felhasználói számára szeretné korlátozni a hozzáférést, vagy engedélyezni szeretné a többi Microsoft Entra-bérlő (több-bérlős) és a személyes Microsoft-fiókkal (MSA) rendelkező felhasználók számára.