Hitelesítőadat-kezelő konfigurálása – Microsoft Graph API
A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint
Ez a cikk végigvezeti a Microsoft Graph API-val az Azure API Managementen belüli felügyelt kapcsolat létrehozásához szükséges lépéseken. Ebben a példában az engedélyezési kód megadásának típusát használjuk.
Az alábbiak végrehajtásának módját ismerheti meg:
- Microsoft Entra-alkalmazás létrehozása
- Hitelesítőadat-szolgáltató létrehozása és konfigurálása az API Managementben
- Kapcsolat konfigurálása
- Microsoft Graph API létrehozása az API Managementben és szabályzat konfigurálása
- A Microsoft Graph API tesztelése az API Managementben
Előfeltételek
Hozzáférés egy Microsoft Entra-bérlőhöz, ahol rendelkezik engedélyekkel az alkalmazásregisztráció létrehozásához és az alkalmazás engedélyeinek rendszergazdai hozzájárulásához. További információ
Ha saját fejlesztői bérlőt szeretne létrehozni, regisztrálhat a Microsoft 365 fejlesztői programra.
Futó API Management-példány. Ha szükséges, hozzon létre egy Azure API Management-példányt.
Engedélyezze a rendszer által hozzárendelt felügyelt identitást az API Managementhez az API Management-példányban.
1. lépés: Microsoft Entra-alkalmazás létrehozása
Hozzon létre egy Microsoft Entra-alkalmazást az API-hoz, és adja meg a megfelelő engedélyeket a meghívni kívánt kérésekhez.
Jelentkezzen be az Azure Portalra egy megfelelő engedélyekkel rendelkező fiókkal a bérlőben.
Az Azure Servicesben keresse meg a Microsoft Entra-azonosítót.
A bal oldali menüben válassza a Alkalmazásregisztrációk, majd az + Új regisztráció lehetőséget.
Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztrációs beállításokat:
A Név mezőbe írjon be egy értelmes nevet, amely megjelenik az alkalmazás felhasználóinak, például a MicrosoftGraphAuth-nak.
A támogatott fióktípusokban válasszon ki egy olyan beállítást, amely megfelel a forgatókönyvnek, például a csak ebben a szervezeti címtárban lévő fiókok (egybérlős) esetében.
Állítsa be az átirányítási URI-t a webre, és írja be
https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>
az API Management szolgáltatás nevét, amelyben konfigurálja a hitelesítőadat-szolgáltatót.Válassza ki a pénztárgépet.
A bal oldali menüben válassza az API-engedélyeket, majd a + Engedély hozzáadása lehetőséget.
- Válassza a Microsoft Graphot, majd válassza a Delegált engedélyek lehetőséget.
Feljegyzés
Győződjön meg arról, hogy a User.Read engedély delegált típussal már fel lett adva.
- Írja be a Csapat kifejezést, bontsa ki a Csoportbeállításokat, majd válassza a Team.ReadBasic.All lehetőséget. Jelölje be az Engedélyek hozzáadása lehetőséget.
- Ezután válassza az Alapértelmezett címtár rendszergazdai hozzájárulásának megadása lehetőséget. Az engedélyek állapota az alapértelmezett címtárhoz megadott értékre változik.
- Válassza a Microsoft Graphot, majd válassza a Delegált engedélyek lehetőséget.
A bal oldali menüben válassza az Áttekintés lehetőséget. Az Áttekintés lapon keresse meg az alkalmazás (ügyfél) azonosítóját, és jegyezze fel a 2. lépésben való használatra.
A bal oldali menüben válassza a Tanúsítványok > titkos kódok, majd az + Új ügyfélkód lehetőséget.
- Adjon meg egy leírást.
- Válasszon egy lehetőséget a Lejáratok beállításhoz.
- Válassza a Hozzáadás lehetőséget.
- Másolja ki az ügyfél titkos kódjának értékét a lap elhagyása előtt. A 2. lépésben szüksége lesz rá.
2. lépés: Hitelesítőadat-szolgáltató konfigurálása az API Managementben
Jelentkezzen be a portálra , és nyissa meg az API Management-példányt.
A bal oldali menüben válassza a Hitelesítőadat-kezelő, majd a + Létrehozás lehetőséget.
A Hitelesítőadat-szolgáltató létrehozása lapon adja meg a következő beállításokat, és válassza a Létrehozás lehetőséget:
Beállítások Érték Hitelesítőadat-szolgáltató neve A választott név, például a MicrosoftEntraID-01 Identitásszolgáltató Az Azure Active Directory v1 kiválasztása Megadás típusa Engedélyezési kód kiválasztása Engedélyezési URL-cím Nem kötelező a Microsoft Entra identitásszolgáltatóhoz. Az alapértelmezett szint a https://login.microsoftonline.com
.Ügyfélazonosító Illessze be a korábban másolt értéket az alkalmazásregisztrációból Titkos ügyfélkód Illessze be a korábban másolt értéket az alkalmazásregisztrációból Erőforrás URL-címe https://graph.microsoft.com
Bérlőazonosító Nem kötelező a Microsoft Entra identitásszolgáltatóhoz. Az alapértelmezett érték gyakori. Hatókörök Nem kötelező a Microsoft Entra identitásszolgáltatóhoz. Automatikusan konfigurálva a Microsoft Entra alkalmazás API-engedélyeiből.
3. lépés: Kapcsolat konfigurálása
A Csatlakozás ion lapon végezze el a szolgáltatóval való kapcsolat lépéseit.
Feljegyzés
Amikor konfigurál egy kapcsolatot, az API Management alapértelmezés szerint beállít egy hozzáférési szabályzatot , amely lehetővé teszi a hozzáférést a példány rendszer által hozzárendelt felügyelt identitása által. Ez a hozzáférés elegendő ehhez a példához. Szükség szerint további hozzáférési szabályzatokat is hozzáadhat.
- Adjon meg egy Csatlakozás ion nevet, majd válassza a Mentés lehetőséget.
- A 2. lépésben : Jelentkezzen be a kapcsolatba (az engedélyezési kód megadásának típusához), válassza ki a hitelesítőadat-szolgáltatóhoz való bejelentkezéshez szükséges hivatkozást. A hozzáférés engedélyezéséhez és az API Managementhez való visszatéréshez végezze el a szükséges lépéseket.
- A 3. lépésben : Annak meghatározása, hogy kinek lesz hozzáférése ehhez a kapcsolathoz (hozzáférési szabályzat) a felügyelt identitás tagjának listája. Más tagok hozzáadása nem kötelező, a forgatókönyvtől függően.
- Válassza a Kész lehetőséget.
Az új kapcsolat megjelenik a kapcsolatok listájában, és Csatlakozás állapotot jelenít meg. Ha egy másik kapcsolatot szeretne létrehozni a hitelesítőadat-szolgáltatóhoz, hajtsa végre az előző lépéseket.
Tipp.
A portál használatával bármikor hozzáadhat, frissíthet vagy törölhet kapcsolatokat egy hitelesítőadat-szolgáltatóhoz. További információ: Több kapcsolat konfigurálása.
Feljegyzés
Ha a lépés után frissíti a Microsoft Graph-engedélyeket, meg kell ismételnie a 2. és a 3. lépést.
4. lépés: Microsoft Graph API létrehozása az API Managementben és szabályzat konfigurálása
Jelentkezzen be a portálra , és nyissa meg az API Management-példányt.
A bal oldali menüben válassza az API-k > + API hozzáadása lehetőséget.
Válassza a HTTP lehetőséget, és adja meg a következő beállításokat. Válassza a Létrehozás parancsot.
Beállítás Érték Megjelenített név msgraph Webszolgáltatás URL-címe https://graph.microsoft.com/v1.0
API URL-címének utótagja msgraph Lépjen az újonnan létrehozott API-ra, és válassza a Művelet hozzáadása lehetőséget. Adja meg a következő beállításokat, és válassza a Mentés lehetőséget.
Beállítás Érték Megjelenített név getprofile A GET URL-címe /Nekem Az alábbi lépéseket követve adjon hozzá egy másik műveletet az alábbi beállításokkal.
Beállítás Érték Megjelenített név getJoinedTeams A GET URL-címe /me/joinedTeams Válassza a Minden művelet lehetőséget. A Bejövő feldolgozás szakaszban válassza a (/>) (<kódszerkesztő) ikont.
Másolja és illessze be a következő kódrészletet. Frissítse a
get-authorization-context
szabályzatot az előző lépésekben konfigurált hitelesítőadat-szolgáltató és kapcsolat nevével, és válassza a Mentés lehetőséget.- Adja meg a hitelesítőadat-szolgáltató nevét a következő értékként:
provider-id
- Írja be a kapcsolat nevét a következő értékként:
authorization-id
<policies> <inbound> <base /> <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" /> <set-header name="Authorization" exists-action="override"> <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value> </set-header> </inbound> <backend> <base /> </backend> <outbound> <base /> </outbound> <on-error> <base /> </on-error> </policies>
- Adja meg a hitelesítőadat-szolgáltató nevét a következő értékként:
Az előző szabályzatdefiníció két részből áll:
- A get-authorization-context szabályzat lekéri az engedélyezési jogkivonatot a korábban létrehozott hitelesítőadat-szolgáltatóra és kapcsolatra való hivatkozással.
- A set-header szabályzat létrehoz egy HTTP-fejlécet a lekért hozzáférési jogkivonattal.
5. lépés: Az API tesztelése
A Teszt lapon válasszon ki egy konfigurált műveletet.
Válassza az Küldés lehetőséget.
A sikeres válasz a Microsoft Graph felhasználói adatait adja vissza.
Kapcsolódó tartalom
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: