Rövid útmutató: Ügyfélalkalmazás konfigurálása webes API eléréséhez
Ebben a rövid útmutatóban a Microsoft-identitásplatformon regisztrált ügyfélalkalmazásnak megadott hatókörre vonatkozó és engedélyeken alapuló hozzáférést ad az Ön saját webes API-jához. A Microsoft Graphhoz is hozzáférést biztosít az ügyfélalkalmazásnak.
Ha megadja egy webes API hatóköreit az ügyfélalkalmazás regisztrációjában, az ügyfélalkalmazás beszerezheti a hatóköröket tartalmazó hozzáférési jogkivonatot a Microsoft Identitásplatform. A webes API a kódján belül engedélyalapú hozzáférést biztosíthat az erőforrásaihoz a hozzáférési jogkivonatban található hatókörök alapján.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
- Rövid útmutató befejezése: Alkalmazás regisztrálása
- A rövid útmutató befejezése: Alkalmazás konfigurálása webes API-k közzétételéhez
Engedélyek hozzáadása a webes API eléréséhez
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Az API-khoz való hozzáféréshez hozzáférési hatókörök és szerepkörök konfigurálása szükséges. Ha el szeretné helyezni az erőforrásalkalmazás webes API-jait az ügyfélalkalmazások számára, konfigurálhatja az API hozzáférési hatóköreit és szerepköreit. Ha azt szeretné, hogy egy ügyfélalkalmazás hozzáférjen egy webes API-hoz, az alkalmazásregisztrációban konfigurálja az API eléréséhez szükséges engedélyeket.
Ahhoz, hogy egy ügyfélalkalmazás hozzáférjen a saját webes API-hoz, két alkalmazásregisztrációval kell rendelkeznie;
- Ügyfélalkalmazás-regisztráció
- Webes API-regisztráció közzétett hatókörökkel
Az ábra bemutatja, hogy a két alkalmazásregisztráció hogyan kapcsolódik egymáshoz, ahol az ügyfélalkalmazás különböző engedélytípusokkal rendelkezik, a webes API pedig különböző hatókörökkel rendelkezik, amelyeket az ügyfélalkalmazás elérhet. Ebben a szakaszban engedélyeket ad hozzá az ügyfélalkalmazás regisztrációhoz.
Miután regisztrálta az ügyfélalkalmazást és a webes API-t is, és hatókörök létrehozásával tette közzé az API-t, az alábbi lépések végrehajtásával konfigurálhatja az ügyfél engedélyeit az API-hoz:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást (nem a webes API-t).
Válassza ki az API-engedélyeket, majd adjon hozzá egy engedélyt , és válassza a Saját API-k lehetőséget az oldalsávon.
Válassza ki az előfeltételek részeként regisztrált webes API-t, és válassza a Delegált engedélyek lehetőséget.
A delegált engedélyek olyan ügyfélalkalmazások számára megfelelőek, amelyek bejelentkezett felhasználóként férnek hozzá a webes API-hoz, és akiknek a hozzáférését a következő lépésben kiválasztott engedélyekre kell korlátozni. Hagyja kijelölve a példában kijelölt delegált engedélyeket .
Az alkalmazásengedélyek olyan szolgáltatás- vagy démon típusú alkalmazásokhoz tartoznak, amelyeknek saját maguknak kell hozzáférniük egy webes API-hoz anélkül, hogy felhasználói beavatkozást kellene használniuk a bejelentkezéshez vagy a hozzájáruláshoz. Ha nem definiált alkalmazásszerepköröket a webes API-hoz, ez a beállítás le van tiltva.
Az Engedélyek kiválasztása csoportban bontsa ki azt az erőforrást, amelynek hatóköreit a webes API-hoz definiálta, és válassza ki azokat az engedélyeket, amelyeket az ügyfélalkalmazásnak rendelkeznie kell a bejelentkezett felhasználó nevében.
Válassza ki a létrehozott engedélyt az előfeltételek teljesítése során, például
Employees.Read.All
: .Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.
Miután hozzáadta az engedélyeket az API-hoz, a kiválasztott engedélyeknek a Konfigurált engedélyek területen kell megjelennie. Az alábbi képen az Employees.Read.All delegált engedély látható, amely hozzá van adva az ügyfélalkalmazás regisztrációhoz.
A Microsoft Graph API User.Read engedélyét is megfigyelheti. Ez az engedély automatikusan hozzáadódik, amikor regisztrál egy alkalmazást az Azure Portalon.
A Microsoft Graph eléréséhez szükséges engedélyek megadása
A bejelentkezett felhasználó nevében a saját webes API-hoz való hozzáférés mellett előfordulhat, hogy az alkalmazásnak hozzá kell férnie vagy módosítania kell a felhasználó Microsoft Graph-ban tárolt (vagy egyéb) adatait. Vagy rendelkezhet olyan szolgáltatással vagy démonalkalmazással, amely önmagában is hozzá kell férnie a Microsoft Graphhoz, és felhasználói beavatkozás nélkül hajt végre műveleteket.
Delegált engedély a Microsoft Graph számára
Konfiguráljon delegált engedélyt a Microsoft Graph számára, hogy az ügyfélalkalmazás műveleteket hajtson végre a bejelentkezett felhasználó nevében, például elolvassa az e-mail-címét, vagy módosítsa a profilját. Alapértelmezés szerint az ügyfélalkalmazás felhasználóit a rendszer arra kéri, hogy jelentkezzenek be, hogy hozzájáruljanak az Ön által konfigurált delegált engedélyekhez.
Az ügyfélalkalmazás Áttekintés lapján válassza az API-engedélyeket>Engedély hozzáadása>Microsoft Graph
Válassza a Delegált engedélyek lehetőséget. A Microsoft Graph számos engedélyt tesz elérhetővé, és a leggyakrabban használt engedélyek a lista tetején jelennek meg.
Az Engedélyek kiválasztása csoportban válassza ki a következő engedélyeket:
Engedély Leírás email
Felhasználók e-mail-címének megtekintése offline_access
Adathozzáférés fenntartása, amelyhez engedélyt adott openid
Felhasználók bejelentkezése profile
Felhasználók alapprofiljának megtekintése Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.
Amikor engedélyeket konfigurál, az alkalmazás felhasználóit a rendszer a bejelentkezéskor arra kéri, hogy engedélyezze az alkalmazás számára az erőforrás API-hoz való hozzáférést a nevükben.
Rendszergazdaként az összes felhasználó nevében is adhat hozzájárulást, így a rendszer nem kéri őket erre. A rendszergazdai hozzájárulást a cikk További api-engedélyek és rendszergazdai hozzájárulás című szakaszában tárgyaljuk.
Alkalmazásengedély a Microsoft Graphhoz
Konfiguráljon alkalmazásengedélyeket olyan alkalmazásokhoz, amelyeknek felhasználói beavatkozás vagy hozzájárulás nélkül kell hitelesíteni magukat. Az alkalmazásengedélyeket általában háttérszolgáltatások vagy démonalkalmazások használják, amelyek "fej nélküli" módon férnek hozzá egy API-hoz, valamint egy másik (lefelé irányuló) API-t elérő webes API-k.
A következő lépésekben például engedélyt ad a Microsoft Graph Files.Read.All engedélyének.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
- Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást.
- API-engedélyek kiválasztása Engedély hozzáadása Microsoft Graph-alkalmazásengedélyek> hozzáadása.>>
- A Microsoft Graph által közzétett összes engedély a Kiválasztás engedélyek területen jelenik meg.
- Válassza ki az alkalmazásnak adni kívánt engedélyt vagy engedélyeket. Előfordulhat például, hogy rendelkezik egy démonalkalmazással, amely a szervezet fájljait vizsgálja, és egy adott fájltípusra vagy névre riasztást küld. Az Engedélyek kiválasztása területen bontsa ki a Fájlok elemet, majd válassza ki az
Files.Read.All
engedélyt. - Jelölje be az Engedélyek hozzáadása lehetőséget.
- Bizonyos engedélyekhez, például a Microsoft Graph Files.Read.All engedélyéhez rendszergazdai hozzájárulásra van szükség. A rendszergazdai hozzájárulás megadásához kattintson a Rendszergazdai hozzájárulás megadása gombra, amelyről a Rendszergazdai hozzájárulás gomb szakasz későbbi részében olvashat.
Ügyfél hitelesítő adatainak konfigurálása
Az alkalmazásengedélyeket használó alkalmazások saját hitelesítő adataikkal hitelesítik magukat, felhasználói beavatkozás nélkül. Ahhoz, hogy az alkalmazás (vagy API) hozzáférhessen a Microsoft Graphhoz, a saját webes API-hoz vagy egy másik API-hoz alkalmazásengedélyek használatával, konfigurálnia kell az ügyfélalkalmazás hitelesítő adatait.
Az alkalmazás hitelesítő adatainak konfigurálásáról további információt a Gyorsútmutató hitelesítő adatok hozzáadása szakaszában talál: Alkalmazás regisztrálása a Microsoft Identitásplatform.
További információ az API-engedélyekről és a rendszergazdai hozzájárulásról
Az alkalmazásregisztráció API-engedélyek panelje tartalmazza a Konfigurált engedélyek táblát és a Rendszergazdai hozzájárulás gombot, amelyet a következő szakaszokban ismertetünk.
Konfigurált engedélyek
Az API-engedélyek panel Konfigurált engedélyek táblája megjeleníti azokat az engedélyeket, amelyekre az alkalmazásnak szüksége van az alapművelethez – a szükséges erőforrás-hozzáférési (RRA- ) listára. A felhasználóknak vagy rendszergazdáiknak hozzá kell adniuk ezeket az engedélyeket az alkalmazás használata előtt. Egyéb, választható engedélyek később, futásidőben kérhetők (dinamikus hozzájárulással).
Ez azoknak az engedélyeknek a minimális listája, amelyekhez a felhasználóknak hozzá kell majd adniuk az alkalmazáshoz való hozzájárulást. Több is lehet, de ezekre mindig szükség lesz. A biztonság érdekében és annak érdekében, hogy a felhasználók és a rendszergazdák kényelmesebben használják az alkalmazást, soha ne kérjen semmit, amire nincs szüksége.
A táblázatban megjelenő engedélyeket a fenti lépések végrehajtásával veheti fel vagy távolíthatja el. Rendszergazdaként rendszergazdai hozzájárulást adhat a táblában megjelenő API-engedélyek teljes készletéhez, és visszavonhatja az egyes engedélyekhez való hozzájárulást.
Rendszergazdai hozzájárulás gomb
A (z) {a bérlő} rendszergazdai hozzájárulásának megadása gomb lehetővé teszi, hogy a rendszergazda hozzájáruljon az alkalmazáshoz konfigurált engedélyekhez. Amikor kiválasztja a gombot, megjelenik egy párbeszédpanel, amely a hozzájárulási művelet megerősítését kéri.
A hozzájárulás megadása után a rendszergazdai hozzájáruláshoz szükséges engedélyek a hozzájárulás megadását követően jelennek meg:
A Rendszergazdai hozzájárulás megadása gomb le van tiltva , ha Ön nem rendszergazda, vagy ha nincs konfigurálva engedély az alkalmazáshoz. Ha rendelkezik megadott, de még nem konfigurált engedélyekkel, a Rendszergazdai jóváhagyás gombra kattintva felszólítást kap ezen engedélyek kezelésére. Az engedélyeket hozzáadhatja a konfigurált engedélyekhez, vagy eltávolíthatja őket.
Alkalmazásengedélyek eltávolítása
Fontos, hogy ne adjon túl sok engedélyt egy alkalmazásnak a szükségesnél. A rendszergazdai hozzájárulás visszavonása egy engedélyhez az alkalmazásban;
- Lépjen az alkalmazáshoz, és válassza ki az API-engedélyeket.
- A Konfigurált engedélyek csoportban válassza ki az eltávolítani kívánt engedély melletti három elemet, és válassza az Eltávolítás engedély lehetőséget
- A megjelenő előugró ablakban válassza az Igen, eltávolítás lehetőséget az engedély rendszergazdai hozzájárulásának visszavonásához.
Kapcsolódó tartalom
A sorozat következő rövid útmutatójában megtudhatja, hogyan konfigurálhatja, hogy mely fióktípusok férhetnek hozzá az alkalmazáshoz. Előfordulhat például, hogy csak a szervezet (egybérlős) felhasználói számára szeretné korlátozni a hozzáférést, vagy engedélyezni szeretné a többi Microsoft Entra-bérlő (több-bérlős) és a személyes Microsoft-fiókkal (MSA) rendelkező felhasználók számára.