Rövid útmutató: Alkalmazás konfigurálása webes API-k közzétételéhez
Ebben a rövid útmutatóban regisztrál egy webes API-t a Microsoft Identitásplatform, és egy hatókör hozzáadásával teszi elérhetővé az ügyfélalkalmazások számára. Ha regisztrálja a webes API-t, és hatókörökön keresztül teszi elérhetővé, tulajdonosi és alkalmazásszerepkört rendel hozzá, engedélyeken alapuló hozzáférést biztosíthat az erőforrásaihoz az API-t elérő jogosult felhasználók és ügyfélalkalmazások számára.
Előfeltételek
- Aktív előfizetéssel rendelkező Azure-fiók – fiók létrehozása ingyenesen
- A rövid útmutató befejezése: Bérlő beállítása
A webes API regisztrálása
Az API-khoz való hozzáféréshez hozzáférési hatókörök és szerepkörök konfigurálása szükséges. Ha el szeretné helyezni az erőforrásalkalmazás webes API-jait az ügyfélalkalmazások számára, konfigurálja az API hozzáférési hatóköreit és szerepköreit. Ha azt szeretné, hogy egy ügyfélalkalmazás hozzáférjen egy webes API-hoz, konfiguráljon engedélyeket az API-hoz való hozzáféréshez az alkalmazásregisztrációban.
Ahhoz, hogy hatókörön belüli hozzáférést biztosítson a webes API erőforrásaihoz, először regisztrálnia kell az API-t a Microsoft Identitásplatform.
Hajtsa végre a gyorsútmutató alkalmazás regisztrálása szakaszának lépéseit: Alkalmazás regisztrálása a Microsoft Identitásplatform.
Hagyja ki az Átirányítási URI (nem kötelező) szakaszt. Nem kell átirányítási URI-t konfigurálnia egy webes API-hoz, mivel a rendszer nem jelentkezik be interaktívan.
Alkalmazástulajdonos hozzárendelése
- Az alkalmazásregisztrációban a Kezelés területen válassza a Tulajdonosok és a Tulajdonosok hozzáadása lehetőséget.
- Az új ablakban keresse meg és válassza ki az alkalmazáshoz hozzárendelni kívánt tulajdonos(ok)t. A kijelölt tulajdonosok a jobb oldali panelen jelennek meg. Ha végzett, erősítse meg a Kiválasztás lehetőséget. Az alkalmazástulajdonos(ok) ekkor megjelennek a tulajdonos listájában.
Megjegyzés:
Győződjön meg arról, hogy mind az API-alkalmazás, mind a hozzáadni kívánt alkalmazás rendelkezik tulajdonossal, ellenkező esetben az API nem jelenik meg az API-engedélyek kérésekor.
Alkalmazásszerepkör hozzárendelése
Az alkalmazásregisztrációban a Kezelés területen válassza az Alkalmazásszerepkörök és az Alkalmazásszerepkör létrehozása lehetőséget.
Ezután adja meg az alkalmazásszerepkör attribútumait az Alkalmazásszerepkör létrehozása panelen. Ehhez az útmutatóhoz használhatja a példaértékeket, vagy megadhatja a sajátját.
Mező Description Példa Megjelenített név Az alkalmazásszerepkör neve Alkalmazotti rekordok Engedélyezett tagtípusok Meghatározza, hogy az alkalmazásszerepkör hozzárendelhető-e felhasználókhoz/csoportokhoz és/vagy alkalmazásokhoz Alkalmazások Érték A jogkivonat "szerepkörök" jogcímében megjelenített érték Employee.Records
Ismertetés Az alkalmazásszerepkör részletesebb leírása Az alkalmazások hozzáférhetnek az alkalmazottak rekordjaihoz Jelölje be a jelölőnégyzetet az alkalmazásszerepkör engedélyezéséhez.
Ha a webes API regisztrálva van, hozzárendelt egy alkalmazásszerepkört és egy tulajdonost, hatóköröket vehet fel az API kódjába, hogy részletes engedélyt biztosítson a felhasználóknak.
Hatókör hozzáadása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Az ügyfélalkalmazás kódja engedélyt kér a webes API által meghatározott műveletek végrehajtására azáltal, hogy egy hozzáférési jogkivonatot és annak kéréseit átadja a védett erőforrásnak (a webes API-nak). A webes API ezután csak akkor hajtja végre a kért műveletet, ha a kapott hozzáférési jogkivonat tartalmazza a művelethez szükséges hatóköröket.
Először az alábbi lépéseket követve hozzon létre egy példahatókört:Employees.Read.All
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Ha több bérlőhöz is hozzáfér, a felső menüben található Gépház ikonnalválthat arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az API alkalmazásregisztrációját.
API-k felfedése lehetőség kiválasztása
Ha még nem konfigurált egyet, válassza a Hozzáadás az alkalmazásazonosító URI mellett lehetőséget.
Használhatja az alapértelmezett értéket
api://<application-client-id>
vagy egy másik támogatott alkalmazásazonosító URI-mintát. Az alkalmazásazonosító URI az API kódjában hivatkozni kívánt hatókörök előtagjaként működik, és globálisan egyedinek kell lennie.Válassza a Hatókör hozzáadása lehetőséget:
Ezután adja meg a hatókör attribútumait a Hatókör hozzáadása panelen. Ehhez az útmutatóhoz használhatja a példaértékeket, vagy megadhatja a sajátját.
Mező Description Példa Hatókör neve A hatókör neve. A hatókör elnevezési konvenciója gyakran a . resource.operation.constraint
Employees.Read.All
Ki adhat hozzájárulást? Azt, hogy a felhasználók jóváhagyhatják-e ezt a hatókört, vagy rendszergazdai hozzájárulásra van szükség. Magasabb jogosultsági szintű engedélyeknél válassza a Csak rendszergazdák lehetőséget. Rendszergazda és felhasználók Rendszergazdai hozzájárulás megjelenítendő neve A hatókör céljának rövid leírása, amelyet csak a rendszergazdák láthatnak. Read-only access to Employee records
Rendszergazdai jóváhagyás leírása A hatókör által megadott engedély részletesebb leírása, amelyet csak a rendszergazdák láthatnak. Allow the application to have read-only access to all Employee data.
Felhasználói jóváhagyás megjelenítendő neve A hatókör céljának rövid leírása. Csak akkor jelenik meg a felhasználók számára, ha beállítja, hogy ki járulhat hozzá Rendszergazda és felhasználókhoz. Read-only access to your Employee records
Felhasználói jóváhagyás leírása A hatókör által megadott engedély részletesebb leírása. Csak akkor jelenik meg a felhasználók számára, ha beállítja, hogy ki járulhat hozzá Rendszergazda és felhasználókhoz. Allow the application to have read-only access to your Employee data.
Állítsa az állapotot Engedélyezve értékre, majd válassza a Hatókör hozzáadása lehetőséget.
(Nem kötelező) Ha el szeretné tiltani, hogy az alkalmazás felhasználói hozzájárulást kérjenek az Ön által meghatározott hatókörökhöz, előzetesen engedélyezheti az ügyfélalkalmazás számára a webes API elérését. Csak azokat az ügyfélalkalmazásokat engedélyezze előre, amelyekben megbízik, mivel a felhasználóknak nem lesz lehetőségük elutasítani a hozzájárulást.
- Az Engedélyezett ügyfélalkalmazások csoportban válassza az Ügyfélalkalmazás hozzáadása lehetőséget
- Adja meg annak az ügyfélalkalmazásnak az alkalmazás-(ügyfél-) azonosítóját , amelyet előzetesen engedélyezni szeretne. Ilyen például egy korábban regisztrált webalkalmazás.
- Az Engedélyezett hatókörök csoportban válassza ki azokat a hatóköröket, amelyekhez el szeretné tiltani a hozzájárulás kérését, majd válassza az Alkalmazás hozzáadása lehetőséget.
Ha követte ezt az opcionális lépést, az ügyfélalkalmazás mostantól egy előre engedélyezett ügyfélalkalmazás (PCA), és a felhasználók nem kérik a hozzájárulásukat a bejelentkezéskor.
Rendszergazdai hozzájárulást igénylő hatókör hozzáadása
Ezután adjon hozzá egy másik példahatókört Employees.Write.All
, amelyet csak a rendszergazdák tudnak jóváhagyni. A rendszergazdai hozzájárulást igénylő hatóköröket általában a magasabb jogosultságú műveletekhez való hozzáférés biztosítására használják, és gyakran olyan ügyfélalkalmazások, amelyek háttérszolgáltatásként vagy démonként futnak, amelyek nem jelentkeznek be interaktívan a felhasználóba.
A Employees.Write.All
példahatókör hozzáadásához kövesse a Hatókör hozzáadása szakasz lépéseit, és adja meg ezeket az értékeket a Hatókör hozzáadása panelen:
Mező | Példaérték |
---|---|
Hatókör neve | Employees.Write.All |
Ki adhat hozzájárulást? | csak Rendszergazda |
Rendszergazdai hozzájárulás megjelenítendő neve | Write access to Employee records |
Rendszergazdai jóváhagyás leírása | Allow the application to have write access to all Employee data. |
Felhasználói jóváhagyás megjelenítendő neve | Nincs (hagyja üresen) |
Felhasználói jóváhagyás leírása | Nincs (hagyja üresen) |
Állítsa az állapotot Engedélyezve értékre, majd válassza a Hatókör hozzáadása lehetőséget.
A közzétett hatókörök ellenőrzése
Ha sikeresen hozzáadta az előző szakaszokban leírt mindkét példahatókört, azok a webes API alkalmazásregisztrációjának Api-jának közzététele panelen jelennek meg, az alábbi képhez hasonlóan:
Ahogy a képen látható, a hatókör teljes sztringje a webes API alkalmazásazonosítójának URI-jának és a hatókör hatókörének nevének összefűzése.
Ha például a webes API alkalmazásazonosítójának URI-ja és https://contoso.com/api
a hatókör neve, Employees.Read.All
a teljes hatókör a következő:
https://contoso.com/api/Employees.Read.All
A közzétett hatókörök használata
A sorozat következő cikkében konfigurálja az ügyfélalkalmazás regisztrációját a webes API-hoz való hozzáféréssel, valamint a jelen cikkben ismertetett lépések végrehajtásával definiált hatókörökkel.
Miután az ügyfélalkalmazás-regisztráció engedélyt kapott a webes API eléréséhez, az ügyfél egy OAuth 2.0 hozzáférési jogkivonatot bocsáthat ki az identitásplatformon. Amikor az ügyfél meghívja a webes API-t, egy hozzáférési jogkivonatot jelenít meg, amelynek hatóköri (scp
) jogcíme az ügyfél alkalmazásregisztrációjában megadott engedélyekre van beállítva.
A későbbiekben igény szerint további hatóköröket is közzétehet. Vegye figyelembe, hogy a webes API több művelethez társított hatókört is elérhetővé tehet. Az erőforrás futásidőben szabályozhatja a webes API-hoz való hozzáférést a kapott OAuth 2.0 hozzáférési jogkivonat hatóköri (scp
) jogcímeinek kiértékelésével.
További lépések
Most, hogy közzétette a webes API-t a hatókörök konfigurálásával, konfigurálja az ügyfélalkalmazás regisztrációját a hatókörök elérésére vonatkozó engedélyekkel.