Hitelesítőadat-kezelő konfigurálása – Microsoft Graph API

A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint

Ez a cikk végigvezeti a Microsoft Graph API-val az Azure API Managementen belüli felügyelt kapcsolat létrehozásához szükséges lépéseken. Ebben a példában az engedélyezési kód megadásának típusát használjuk.

Az alábbiak végrehajtásának módját ismerheti meg:

• Microsoft Entra-alkalmazás létrehozása
• Hitelesítőadat-szolgáltató létrehozása és konfigurálása az API Managementben
• Kapcsolat konfigurálása
• Microsoft Graph API létrehozása az API Managementben és szabályzat konfigurálása
• A Microsoft Graph API tesztelése az API Managementben

Előfeltételek

• Hozzáférés egy Microsoft Entra-bérlőhöz, ahol rendelkezik engedélyekkel az alkalmazásregisztráció létrehozásához és az alkalmazás engedélyeinek rendszergazdai hozzájárulásához. További információ

  Ha saját fejlesztői bérlőt szeretne létrehozni, regisztrálhat a Microsoft 365 fejlesztői programra.

• Futó API Management-példány. Ha szükséges, hozzon létre egy Azure API Management-példányt.

• Engedélyezze a rendszer által hozzárendelt felügyelt identitást az API Managementhez az API Management-példányban.

1. lépés: Microsoft Entra-alkalmazás létrehozása

Hozzon létre egy Microsoft Entra-alkalmazást az API-hoz, és adja meg a megfelelő engedélyeket a meghívni kívánt kérésekhez.

1. Jelentkezzen be az Azure Portalra egy megfelelő engedélyekkel rendelkező fiókkal a bérlőben.

2. Az Azure Servicesben keresse meg a Microsoft Entra-azonosítót.

3. A bal oldali menüben válassza a Alkalmazásregisztrációk, majd az + Új regisztráció lehetőséget.

4. Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztrációs beállításokat:

   1. A Név mezőbe írjon be egy értelmes nevet, amely megjelenik az alkalmazás felhasználóinak, például a MicrosoftGraphAuth-nak.

   2. A támogatott fióktípusokban válasszon ki egy olyan beállítást, amely megfelel a forgatókönyvnek, például a csak ebben a szervezeti címtárban lévő fiókok (egybérlős) esetében.

   3. Állítsa be az átirányítási URI-t a webre, és írja be https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>az API Management szolgáltatás nevét, amelyben konfigurálja a hitelesítőadat-szolgáltatót.

   4. Válassza ki a pénztárgépet.

      

5. A bal oldali menüben válassza az API-engedélyeket, majd a + Engedély hozzáadása lehetőséget.

   1. Válassza a Microsoft Graphot, majd válassza a Delegált engedélyek lehetőséget.

      Feljegyzés

      Győződjön meg arról, hogy a User.Read engedély delegált típussal már fel lett adva.

   2. Írja be a Csapat kifejezést, bontsa ki a Csoportbeállításokat, majd válassza a Team.ReadBasic.All lehetőséget. Jelölje be az Engedélyek hozzáadása lehetőséget.
   3. Ezután válassza az Alapértelmezett címtár rendszergazdai hozzájárulásának megadása lehetőséget. Az engedélyek állapota az alapértelmezett címtárhoz megadott értékre változik.

6. A bal oldali menüben válassza az Áttekintés lehetőséget. Az Áttekintés lapon keresse meg az alkalmazás (ügyfél) azonosítóját, és jegyezze fel a 2. lépésben való használatra.

7. A bal oldali menüben válassza a Tanúsítványok > titkos kódok, majd az + Új ügyfélkód lehetőséget.
   

   1. Adjon meg egy leírást.
   2. Válasszon egy lehetőséget a Lejáratok beállításhoz.
   3. Válassza a Hozzáadás lehetőséget.
   4. Másolja ki az ügyfél titkos kódjának értékét a lap elhagyása előtt. A 2. lépésben szüksége lesz rá.

2. lépés: Hitelesítőadat-szolgáltató konfigurálása az API Managementben

1. Jelentkezzen be a portálra , és nyissa meg az API Management-példányt.

2. A bal oldali menüben válassza a Hitelesítőadat-kezelő, majd a + Létrehozás lehetőséget.
   

3. A Hitelesítőadat-szolgáltató létrehozása lapon adja meg a következő beállításokat, és válassza a Létrehozás lehetőséget:

   Beállítások	Érték
   Hitelesítőadat-szolgáltató neve	A választott név, például a MicrosoftEntraID-01
   Identitásszolgáltató	Az Azure Active Directory v1 kiválasztása
   Megadás típusa	Engedélyezési kód kiválasztása
   Engedélyezési URL-cím	Nem kötelező a Microsoft Entra identitásszolgáltatóhoz. Az alapértelmezett szint a https://login.microsoftonline.com.
   Ügyfélazonosító	Illessze be a korábban másolt értéket az alkalmazásregisztrációból
   Titkos ügyfélkód	Illessze be a korábban másolt értéket az alkalmazásregisztrációból
   Erőforrás URL-címe	https://graph.microsoft.com
   Bérlőazonosító	Nem kötelező a Microsoft Entra identitásszolgáltatóhoz. Az alapértelmezett érték gyakori.
   Hatókörök	Nem kötelező a Microsoft Entra identitásszolgáltatóhoz. Automatikusan konfigurálva a Microsoft Entra alkalmazás API-engedélyeiből.

3. lépés: Kapcsolat konfigurálása

A Csatlakozás ion lapon végezze el a szolgáltatóval való kapcsolat lépéseit.

Feljegyzés

Amikor konfigurál egy kapcsolatot, az API Management alapértelmezés szerint beállít egy hozzáférési szabályzatot , amely lehetővé teszi a hozzáférést a példány rendszer által hozzárendelt felügyelt identitása által. Ez a hozzáférés elegendő ehhez a példához. Szükség szerint további hozzáférési szabályzatokat is hozzáadhat.

1. Adjon meg egy Csatlakozás ion nevet, majd válassza a Mentés lehetőséget.
2. A 2. lépésben : Jelentkezzen be a kapcsolatba (az engedélyezési kód megadásának típusához), válassza ki a hitelesítőadat-szolgáltatóhoz való bejelentkezéshez szükséges hivatkozást. A hozzáférés engedélyezéséhez és az API Managementhez való visszatéréshez végezze el a szükséges lépéseket.
3. A 3. lépésben : Annak meghatározása, hogy kinek lesz hozzáférése ehhez a kapcsolathoz (hozzáférési szabályzat) a felügyelt identitás tagjának listája. Más tagok hozzáadása nem kötelező, a forgatókönyvtől függően.
4. Válassza a Kész lehetőséget.

Az új kapcsolat megjelenik a kapcsolatok listájában, és Csatlakozás állapotot jelenít meg. Ha egy másik kapcsolatot szeretne létrehozni a hitelesítőadat-szolgáltatóhoz, hajtsa végre az előző lépéseket.

Tipp.

A portál használatával bármikor hozzáadhat, frissíthet vagy törölhet kapcsolatokat egy hitelesítőadat-szolgáltatóhoz. További információ: Több kapcsolat konfigurálása.

Feljegyzés

Ha a lépés után frissíti a Microsoft Graph-engedélyeket, meg kell ismételnie a 2. és a 3. lépést.

4. lépés: Microsoft Graph API létrehozása az API Managementben és szabályzat konfigurálása

1. Jelentkezzen be a portálra , és nyissa meg az API Management-példányt.

2. A bal oldali menüben válassza az API-k > + API hozzáadása lehetőséget.

3. Válassza a HTTP lehetőséget, és adja meg a következő beállításokat. Válassza a Létrehozás parancsot.

   Beállítás	Érték
   Megjelenített név	msgraph
   Webszolgáltatás URL-címe	https://graph.microsoft.com/v1.0
   API URL-címének utótagja	msgraph

4. Lépjen az újonnan létrehozott API-ra, és válassza a Művelet hozzáadása lehetőséget. Adja meg a következő beállításokat, és válassza a Mentés lehetőséget.

   Beállítás	Érték
   Megjelenített név	getprofile
   A GET URL-címe	/Nekem

5. Az alábbi lépéseket követve adjon hozzá egy másik műveletet az alábbi beállításokkal.

   Beállítás	Érték
   Megjelenített név	getJoinedTeams
   A GET URL-címe	/me/joinedTeams

6. Válassza a Minden művelet lehetőséget. A Bejövő feldolgozás szakaszban válassza a (/>) (<kódszerkesztő) ikont.

7. Másolja és illessze be a következő kódrészletet. Frissítse a get-authorization-context szabályzatot az előző lépésekben konfigurált hitelesítőadat-szolgáltató és kapcsolat nevével, és válassza a Mentés lehetőséget.

   • Adja meg a hitelesítőadat-szolgáltató nevét a következő értékként: provider-id
   • Írja be a kapcsolat nevét a következő értékként: authorization-id

   <policies>
       <inbound>
           <base />
           <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
          <set-header name="Authorization" exists-action="override">
              <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
          </set-header>
       </inbound>
       <backend>
           <base />
       </backend>
       <outbound>
           <base />
       </outbound>
       <on-error>
           <base />
       </on-error>
   </policies>
   

Az előző szabályzatdefiníció két részből áll:

• A get-authorization-context szabályzat lekéri az engedélyezési jogkivonatot a korábban létrehozott hitelesítőadat-szolgáltatóra és kapcsolatra való hivatkozással.
• A set-header szabályzat létrehoz egy HTTP-fejlécet a lekért hozzáférési jogkivonattal.

5. lépés: Az API tesztelése

1. A Teszt lapon válasszon ki egy konfigurált műveletet.

2. Válassza az Küldés lehetőséget.

   

   A sikeres válasz a Microsoft Graph felhasználói adatait adja vissza.

Kapcsolódó tartalom

• További információ az Azure API Management hitelesítési és engedélyezési szabályzatairól.
• További információ a Hatókörökről és engedélyekről a Microsoft Entra-azonosítóban.