Megosztás a következőn keresztül:

Alkalmazásengedélyek konfigurálása webes API-hoz

Ebben az útmutatóban egy, a Microsoft identitásplatformján regisztrált ügyfélalkalmazást biztosít hatóköralapú, engedélyalapú hozzáféréssel a saját webes API-hoz. A Microsoft Graphhoz is hozzáférést biztosít az ügyfélalkalmazásnak.

Ha megadja az ügyfélalkalmazás regisztrációjában egy webes API hatóköreit, az ügyfélalkalmazás beszerezheti a Microsoft identitásplatformtól a hatóköröket tartalmazó hozzáférési tokent. A webes API a kódján belül engedélyalapú hozzáférést biztosíthat az erőforrásaihoz a hozzáférési jogkivonatban található hatókörök alapján.

Előfeltételek

Engedélyek hozzáadása a webes API eléréséhez

Ahhoz, hogy az ügyfélalkalmazások hozzáférhessenek a webes API-khoz, engedélyeket kell hozzáadnia az ügyfélalkalmazáshoz a webes API eléréséhez. Ehhez hasonlóan a webes API-ban is konfigurálnia kell az ügyfélalkalmazás hozzáférési hatóköreit és szerepköreit.

Ahhoz, hogy egy ügyfélalkalmazás hozzáférjen a saját webes API-hoz, két alkalmazásregisztrációval kell rendelkeznie;

Az ábra bemutatja, hogy a két alkalmazásregisztráció hogyan kapcsolódik egymáshoz, ahol az ügyfélalkalmazás különböző engedélytípusokkal rendelkezik, a webes API pedig különböző hatókörökkel rendelkezik, amelyeket az ügyfélalkalmazás elérhet. Ebben a szakaszban engedélyeket ad hozzá az ügyfélalkalmazás regisztrációhoz.

Vonaldiagram egy webes API-ról, amelyen a jobb oldalon közzétett hatókörök, a bal oldalon pedig egy ügyfélalkalmazás látható, engedélyként kijelölt hatókörökkel

Miután regisztrálta az ügyfélalkalmazást és a webes API-t is, és hatókörök létrehozásával tette közzé az API-t, az alábbi lépések végrehajtásával konfigurálhatja az ügyfél engedélyeit az API-hoz:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.

  3. Keresse meg az Entra ID>alkalmazásregisztrációit, majd válassza ki az ügyfél-alkalmazást (nem a webes API-t).

  4. Válassza ki az API-engedélyeket, majd adjon hozzá egy engedélyt , és válassza a Saját API-k lehetőséget az oldalsávon.

    Képernyőkép az alkalmazásregisztrációk, AZ API-engedélyek, az Engedély hozzáadása és a Saját API-k kiemelt gombjairól, amelyek lehetővé teszik, hogy a felhasználó API-engedélyeket kérjen.

  5. Válassza ki az előfeltételek részeként regisztrált webes API-t, és válassza a Delegált engedélyek lehetőséget.

    • A delegált engedélyek olyan ügyfélalkalmazások számára megfelelőek, amelyek bejelentkezett felhasználóként férnek hozzá a webes API-hoz, és akiknek a hozzáférését a következő lépésben kiválasztott engedélyekre kell korlátozni. Hagyja kiválasztva a delegált engedélyeket ebben a példában.

    • Az alkalmazásengedélyek olyan szolgáltatás- vagy démon típusú alkalmazásokhoz tartoznak, amelyeknek saját maguknak kell hozzáférniük egy webes API-hoz anélkül, hogy felhasználói beavatkozást kellene használniuk a bejelentkezéshez vagy a hozzájáruláshoz. Ha nem definiált alkalmazásszerepköröket a webes API-hoz, ez a beállítás le van tiltva.

  6. Az Engedélyek kiválasztása csoportban bontsa ki azt az erőforrást, amelynek hatóköreit a webes API-hoz definiálta, és válassza ki azokat az engedélyeket, amelyeket az ügyfélalkalmazásnak rendelkeznie kell a bejelentkezett felhasználó nevében.

    • Ha az előző rövid útmutatóban megadott példahatókör-neveket használta, akkor az Employees.Read.All és Employees.Write.All jelenik meg.

  7. Válassza ki a létrehozott engedélyt az előfeltételek teljesítése során, például Employees.Read.All: .

  8. Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.

Miután hozzáadta az engedélyeket az API-hoz, a kiválasztott engedélyeknek a Konfigurált engedélyek területen kell megjelennie. Az alábbi képen az Employees.Read.All delegált engedély látható, amely hozzá van adva az ügyfélalkalmazás regisztrációhoz.

Konfigurált engedélyek panel az Azure Portalon az újonnan hozzáadott engedélyekkel

Észreveheti a Microsoft Graph API User.Read engedélyét is. Ez az engedély automatikusan hozzáadódik, amikor regisztrál egy alkalmazást az Azure Portalon.

A Microsoft Graph eléréséhez szükséges engedélyek megadása

A bejelentkezett felhasználó nevében a saját webes API-hoz való hozzáférés mellett előfordulhat, hogy az alkalmazásnak hozzá kell férnie vagy módosítania kell a felhasználó Microsoft Graph-ban tárolt (vagy egyéb) adatait. Vagy rendelkezhet olyan szolgáltatással vagy démonalkalmazással, amely önmagában is hozzá kell férnie a Microsoft Graphhoz, és felhasználói beavatkozás nélkül hajt végre műveleteket.

Delegált engedély a Microsoft Graph számára

Konfiguráljon delegált engedélyt a Microsoft Graph számára, hogy az ügyfélalkalmazás műveleteket hajtson végre a bejelentkezett felhasználó nevében, például elolvassa az e-mail-címét, vagy módosítsa a profilját. Alapértelmezés szerint az ügyfélalkalmazás felhasználóit a rendszer arra kéri, hogy jelentkezzenek be, hogy hozzájáruljanak az Ön által konfigurált delegált engedélyekhez.

  1. Az ügyfélalkalmazás Áttekintés lapján válassza az API-engedélyeket>Engedély hozzáadása>Microsoft Graph

  2. Válassza a Delegált engedélyek lehetőséget. A Microsoft Graph számos engedélyt tesz elérhetővé, és a leggyakrabban használt engedélyek a lista tetején jelennek meg.

  3. Az Engedélyek kiválasztása csoportban válassza ki a következő engedélyeket:

    Engedély Leírás
    email Felhasználók e-mail-címének megtekintése
    offline_access A hozzáférés fenntartása azokhoz az adatokhoz, amelyekhez engedélyt adott
    openid Felhasználók bejelentkezése
    profile Felhasználók alapprofiljának megtekintése

  4. Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.

Amikor engedélyeket konfigurál, az alkalmazás felhasználóit a rendszer a bejelentkezéskor arra kéri, hogy engedélyezze az alkalmazás számára az erőforrás API-hoz való hozzáférést a nevükben.

Rendszergazdaként az összes felhasználó nevében is adhat hozzájárulást, így a rendszer nem kéri őket erre. A rendszergazdai hozzájárulást a cikk További api-engedélyek és rendszergazdai hozzájárulás című szakaszában tárgyaljuk.

Alkalmazásengedély a Microsoft Graphhoz

Konfiguráljon alkalmazásengedélyeket olyan alkalmazásokhoz, amelyeknek felhasználói beavatkozás vagy hozzájárulás nélkül kell hitelesíteni magukat. Az alkalmazásengedélyeket általában háttérszolgáltatások vagy démonalkalmazások használják, amelyek "fej nélküli" módon férnek hozzá egy API-hoz, valamint egy másik (lefelé irányuló) API-t elérő webes API-k.

A következő lépésekben például engedélyt ad a Microsoft Graph Files.Read.All engedélyének.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
  3. Keresse meg az Entra-azonosító>alkalmazásregisztrációit, majd válassza ki az ügyfélalkalmazást.
  4. Válassza a API-engedélyek> lehetőséget, majd az Engedély hozzáadása> lehetőségre kattintson, és válassza a Microsoft Graph alatt az >.
  5. A Microsoft Graph által közzétett összes engedély a Kiválasztás engedélyek területen jelenik meg.
  6. Válassza ki az alkalmazásnak adni kívánt engedélyt vagy engedélyeket. Előfordulhat például, hogy rendelkezik egy démonalkalmazással, amely a szervezet fájljait vizsgálja, és egy adott fájltípusra vagy névre riasztást küld. Az Engedélyek kiválasztása területen bontsa ki a Fájlok elemet, majd válassza ki az Files.Read.All engedélyt.
  7. Válassza az Engedélyek hozzáadása lehetőséget.
  8. Bizonyos engedélyekhez, például a Microsoft Graph Files.Read.All engedélyéhez rendszergazdai hozzájárulásra van szükség. A rendszergazdai hozzájárulás megadásához kattintson a Rendszergazdai hozzájárulás megadása gombra, amelyről a Rendszergazdai hozzájárulás gomb szakasz későbbi részében olvashat.

Ügyfél hitelesítő adatainak konfigurálása

Az alkalmazásengedélyeket használó alkalmazások saját hitelesítő adataikkal hitelesítik magukat, felhasználói beavatkozás nélkül. Ahhoz, hogy az alkalmazás (vagy API) hozzáférhessen a Microsoft Graphhoz, a saját webes API-hoz vagy egy másik API-hoz alkalmazásengedélyek használatával, konfigurálnia kell az ügyfélalkalmazás hitelesítő adatait.

Az alkalmazás hitelesítő adatainak konfigurálásáról további információt a Gyorsútmutató hitelesítő adatok hozzáadása szakaszában talál : Alkalmazás regisztrálása a Microsoft identitásplatformon.

Az alkalmazásregisztráció API-engedélyek panelje tartalmazza a Konfigurált engedélyek táblát és a Rendszergazdai hozzájárulás gombot, amelyet a következő szakaszokban ismertetünk.

Konfigurált engedélyek

Az API-engedélyek panel Konfigurált engedélyek táblája megjeleníti azokat az engedélyeket, amelyekre az alkalmazásnak szüksége van az alapművelethez – a szükséges erőforrás-hozzáférési (RRA- ) listára. A felhasználóknak vagy rendszergazdáiknak hozzá kell adniuk ezeket az engedélyeket az alkalmazás használata előtt. Egyéb, választható engedélyek később, futásidőben kérhetők (dinamikus hozzájárulással).

Ez azoknak az engedélyeknek a minimális listája, amelyekhez a felhasználóknak hozzá kell majd adniuk az alkalmazáshoz való hozzájárulást. Több is lehet, de ezekre mindig szükség lesz. A biztonság érdekében és annak érdekében, hogy a felhasználók és a rendszergazdák kényelmesebben használják az alkalmazást, soha ne kérjen semmit, amire nincs szüksége.

A táblázatban megjelenő engedélyeket a fenti lépések végrehajtásával veheti fel vagy távolíthatja el. Rendszergazdaként rendszergazdai hozzájárulást adhat a táblában megjelenő API-engedélyek teljes készletéhez, és visszavonhatja az egyes engedélyekhez való hozzájárulást.

A (z) {a bérlő} rendszergazdai hozzájárulásának megadása gomb lehetővé teszi, hogy a rendszergazda hozzájáruljon az alkalmazáshoz konfigurált engedélyekhez. Amikor kiválasztja a gombot, megjelenik egy párbeszédpanel, amely a hozzájárulási művelet megerősítését kéri.

Az Azure Portal Konfigurált engedélyek paneljén kiemelt rendszergazdai hozzájárulás gomb

A hozzájárulás megadása után a rendszergazdai hozzájáruláshoz szükséges engedélyek úgy jelennek meg, mintha hozzájárulást kaptak volna.

Engedélyek táblázatának konfigurálása az Azure Portalon a Files.Read.All engedélyhez megadott rendszergazdai hozzájárulással

A Rendszergazdai hozzájárulás megadása gomb le van tiltva , ha Ön nem rendszergazda, vagy ha nincs konfigurálva engedély az alkalmazáshoz. Ha rendelkezik megadott, de még nem konfigurált engedélyekkel, a Rendszergazdai jóváhagyás gombra kattintva felszólítást kap ezen engedélyek kezelésére. Az engedélyeket hozzáadhatja a konfigurált engedélyekhez, vagy eltávolíthatja őket.

Alkalmazásengedélyek eltávolítása

Fontos, hogy ne adjon túl sok engedélyt egy alkalmazásnak a szükségesnél. A rendszergazdai hozzájárulás visszavonása egy engedélyhez az alkalmazásban;

  1. Lépjen az alkalmazáshoz, és válassza ki az API-engedélyeket.
  2. A Konfigurált engedélyek területen válassza ki az eltávolítani kívánt engedély melletti három elemet, majd válassza a Rendszergazdai hozzájárulás visszavonása lehetőséget.
  3. A megjelenő előugró ablakban válassza az Igen, eltávolítás lehetőséget az engedély rendszergazdai hozzájárulásának visszavonásához.

Kapcsolódó tartalom

A sorozat következő rövid útmutatójában megtudhatja, hogyan konfigurálhatja, hogy mely fióktípusok férhetnek hozzá az alkalmazáshoz. Előfordulhat például, hogy csak a szervezet (egybérlős) felhasználói számára szeretné korlátozni a hozzáférést, vagy engedélyezni szeretné a többi Microsoft Entra-bérlő (több-bérlős) és a személyes Microsoft-fiókkal (MSA) rendelkező felhasználók számára.

Az alkalmazás által támogatott fiókok módosítása

  • Last updated on