Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ebben az útmutatóban regisztrál egy webes API-t a Microsoft identitásplatformján, és egy hatókör hozzáadásával teszi elérhetővé az ügyfélalkalmazások számára. Ha regisztrálja a webes API-t, és hatókörökön keresztül teszi elérhetővé, tulajdonosi és alkalmazásszerepkört rendel hozzá, engedélyeken alapuló hozzáférést biztosíthat az erőforrásaihoz az API-t elérő jogosult felhasználók és ügyfélalkalmazások számára.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Ha nem rendelkezik ilyen fiókkal, hozzon létre ingyenes fiókot.
- A Microsoft Entra felügyeleti központban regisztrált alkalmazás. Ha nincs ilyenje, regisztráljon egy alkalmazást .
A webes API regisztrálása
Az API-khoz való hozzáféréshez hozzáférési hatókörök és szerepkörök konfigurálása szükséges. Ha el szeretné helyezni az erőforrásalkalmazás webes API-jait az ügyfélalkalmazások számára, konfigurálja az API hozzáférési hatóköreit és szerepköreit. Ha azt szeretné, hogy egy ügyfélalkalmazás hozzáférjen egy webes API-hoz, konfiguráljon engedélyeket az API-hoz való hozzáféréshez az alkalmazásregisztrációban. Ahhoz, hogy korlátozott hozzáférést biztosítson a webes API erőforrásaihoz, először regisztrálnia kell az API-t a Microsoft Identitásplatformon.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával
váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből. - Hajtsa végre az alkalmazás regisztrálásának lépéseit, és hagyja ki az Átirányítási URI (nem kötelező) szakaszt. Nem kell átirányítási URI-t konfigurálnia egy webes API-hoz, mivel a rendszer nem jelentkezik be interaktívan.
Alkalmazástulajdonos hozzárendelése
- Az alkalmazásregisztrációban a Kezelés területen válassza a Tulajdonosok és a Tulajdonosok hozzáadása lehetőséget.
- Az új ablakban keresse meg és válassza ki az alkalmazáshoz hozzárendelni kívánt tulajdonos(ok)t. A kijelölt tulajdonosok a jobb oldali panelen jelennek meg. Ha végzett, kattintson a Kiválasztás gombra. Az alkalmazástulajdonos(ok) ekkor megjelennek a tulajdonos listájában.
Megjegyzés
Győződjön meg arról, hogy a tulajdonos az API-alkalmazáshoz és ahhoz az alkalmazáshoz is hozzá van rendelve, amelyhez engedélyeket szeretne hozzáadni, ellenkező esetben az API-engedélyek kérésekor az API nem jelenik meg.
Alkalmazás szerepkör hozzárendelése
Az alkalmazásregisztrációban a Kezelés területen válassza az Alkalmazásszerepkörök és az Alkalmazásszerepkör létrehozása lehetőséget.
Ezután adja meg az alkalmazásszerepkör attribútumait az Alkalmazásszerepkör létrehozása panelen. Ehhez az útmutatóhoz használhatja a példaértékeket, vagy megadhatja a sajátját.
Mező Leírás Példa Megjelenített név Az alkalmazásszerepkör neve Alkalmazotti nyilvántartások Engedélyezett tagtípusok Meghatározza, hogy az alkalmazásszerepkör hozzárendelhető-e felhasználókhoz/csoportokhoz és/vagy alkalmazásokhoz Alkalmazások Érték A jogkivonat "szerepkörök" jogcímében megjelenített érték Employee.RecordsLeírás Az alkalmazásszerepkör részletesebb leírása Az alkalmazások hozzáférhetnek az alkalmazottak rekordjaihoz Jelölje be a jelölőnégyzetet az alkalmazásszerepkör engedélyezéséhez, majd válassza az Alkalmaz lehetőséget.
Hatókör hozzáadása
Ha a webes API regisztrálva van, és alkalmazásszerepkört és tulajdonost kapott, hatóköröket adhat hozzá az API kódjához, hogy részletes engedélyt biztosítson a fogyasztóknak.
Az ügyfélalkalmazás kódja engedélyt kér a webes API által meghatározott műveletek végrehajtására azáltal, hogy egy hozzáférési jogkivonatot és annak kéréseit átadja a védett erőforrásnak (a webes API-nak). A webes API ezután csak akkor hajtja végre a kért műveletet, ha a kapott hozzáférési jogkivonat tartalmazza a művelethez szükséges hatóköröket.
Rendszergazdai és felhasználói hozzájárulást igénylő hatókör hozzáadása
Először az alábbi lépéseket követve hozzon létre egy példahatókört:Employees.Read.All
Válassza az API megnyitása lehetőséget.
A lap tetején válassza a Hozzáadás az alkalmazásazonosító URI mellett lehetőséget. Ez az alapértelmezett érték.
api://<application-client-id>Az alkalmazásazonosító URI az API kódjában hivatkozni kívánt hatókörök előtagjaként működik, és globálisan egyedinek kell lennie. Válassza a Mentés lehetőséget.Válassza a Hatókör hozzáadása lehetőséget:
Ezután adja meg a hatókör attribútumait a Hatókör hozzáadása panelen. Ehhez az útmutatóhoz használhatja a példaértékeket, vagy megadhatja a sajátját.
Mező Leírás Példa Hatókör neve A hatókör neve. A hatókör elnevezési konvenciója gyakran a . resource.operation.constraintEmployees.Read.AllKi adhat hozzájárulást? Azt, hogy a felhasználók jóváhagyhatják-e ezt a hatókört, vagy rendszergazdai hozzájárulásra van szükség. A rendszergazdák csak magasabb jogosultságú engedélyekhez használhatók. Rendszergazdák és felhasználók Rendszergazdai hozzájárulás neve a megjelenítéshez A hatókör céljának rövid leírása, amelyet csak a rendszergazdák láthatnak. Csak olvasási hozzáférés az alkalmazottak rekordjaihoz Rendszergazdai jóváhagyás leírása A hatókör által megadott engedély részletesebb leírása, amelyet csak a rendszergazdák láthatnak. Engedélyezze az alkalmazás számára, hogy csak olvasási hozzáféréssel rendelkezzen az összes alkalmazotti adathoz. Felhasználói jóváhagyás megjelenítendő neve A hatókör céljának rövid leírása. Csak akkor jelenik meg a felhasználók számára, ha a Hozzájárulhat lehetőséget a Rendszergazdák és felhasználók értékre állítja. Írásvédett hozzáférés az alkalmazotti rekordokhoz Felhasználói jóváhagyás leírása A hatókör által megadott engedély részletesebb leírása. Csak akkor jelenik meg a felhasználók számára, ha a Hozzájárulhat lehetőséget a Rendszergazdák és felhasználók értékre állítja. Engedélyezze az alkalmazásnak, hogy csak olvasási hozzáféréssel rendelkezzen az alkalmazotti adatokhoz. Állam Azt, hogy a hatókör engedélyezve van-e vagy le van-e tiltva. Engedélyezve Válassza a Hatókör hozzáadása lehetőséget.
(Nem kötelező) Ha el szeretné tiltani, hogy az alkalmazás felhasználói hozzájárulást kérjenek az Ön által meghatározott hatókörökhöz, előzetesen engedélyezheti az ügyfélalkalmazás számára a webes API elérését. Csak azokat az ügyfélalkalmazásokat engedélyezze előre, amelyekben megbízik, mivel a felhasználóknak nem lesz lehetőségük elutasítani a hozzájárulást.
- Az Engedélyezett ügyfélalkalmazások területen válassza az Ügyfélalkalmazás hozzáadása lehetőséget.
- Adja meg annak az ügyfélalkalmazásnak az alkalmazás-(ügyfél-) azonosítóját , amelyet előzetesen engedélyezni szeretne. Ilyen például egy korábban regisztrált webalkalmazás.
- Az Engedélyezett hatókörök csoportban válassza ki azokat a hatóköröket, amelyekhez el szeretné tiltani a hozzájárulás kérését, majd válassza az Alkalmazás hozzáadása lehetőséget.
Ha követte ezt az opcionális lépést, az ügyfélalkalmazás mostantól egy előre engedélyezett ügyfélalkalmazás (PCA), és a felhasználók nem kérik a hozzájárulásukat a bejelentkezéskor.
Rendszergazdai hozzájárulást igénylő hatókör hozzáadása
Ezután adjon hozzá egy másik példahatókört Employees.Write.All , amelyet csak a rendszergazdák tudnak jóváhagyni. A rendszergazdai hozzájárulást igénylő hatóköröket általában a magasabb jogosultságú műveletekhez való hozzáférés biztosítására használják, és gyakran olyan ügyfélalkalmazások, amelyek háttérszolgáltatásként vagy démonként futnak, amelyek nem jelentkeznek be interaktívan a felhasználóba.
A Employees.Write.All példahatókör hozzáadásához kövesse a Hatókör hozzáadása szakasz lépéseit, és adja meg ezeket az értékeket a Hatókör hozzáadása panelen. Ha végzett, válassza a Hatókör hozzáadása lehetőséget:
| Mező | Példaérték |
|---|---|
| Hatókör neve | Employees.Write.All |
| Ki adhat hozzájárulást? | Csak rendszergazdák |
| Rendszergazdai hozzájárulás neve a megjelenítéshez | Hozzáférés írása alkalmazotti rekordokhoz |
| Rendszergazdai jóváhagyás leírása | Engedélyezze az alkalmazásnak, hogy írási hozzáféréssel rendelkezzen az összes alkalmazotti adathoz. |
| Felhasználói jóváhagyás megjelenítendő neve | Nincs (hagyja üresen) |
| Felhasználói jóváhagyás leírása | Nincs (hagyja üresen) |
| Állam | Engedélyezve |
A közzétett hatókörök ellenőrzése
Ha sikeresen hozzáadta az előző szakaszokban leírt mindkét példahatókört, azok a webes API alkalmazásregisztrációjának Api-jának közzététele panelen jelennek meg, az alábbi képhez hasonlóan:
A hatókör teljes sztringje a webes API alkalmazásazonosítójának URI-jának és a hatókör nevének összefűzése. Például, ha a webes API alkalmazásazonosítójának URI-ja https://contoso.com/api, és a hatókör neve Employees.Read.All, akkor a teljes hatókör a következő:
https://contoso.com/api/Employees.Read.All
A közzétett hatókörök használata
A sorozat következő cikkében konfigurálja az ügyfélalkalmazás regisztrációját a webes API-hoz való hozzáféréssel, valamint a jelen cikkben ismertetett lépések végrehajtásával definiált hatókörökkel.
Miután az ügyfélalkalmazás-regisztráció engedélyt kapott a webes API eléréséhez, az ügyfél egy OAuth 2.0 hozzáférési jogkivonatot bocsáthat ki az identitásplatformon. Amikor az ügyfél meghívja a webes API-t, egy hozzáférési jogkivonatot jelenít meg, amelynek hatóköri (scp) jogcíme az ügyfél alkalmazásregisztrációjában megadott engedélyekre van beállítva.
A későbbiekben igény szerint további hatóköröket is közzétehet. Vegye figyelembe, hogy a webes API több művelethez társított hatókört is elérhetővé tehet. Az erőforrás futásidőben szabályozhatja a webes API-hoz való hozzáférést a kapott OAuth 2.0 hozzáférési jogkivonat hatóköri (scp) jogcímeinek kiértékelésével.
Következő lépés
Most, hogy közzétette a webes API-t a hatókörök konfigurálásával, konfigurálja az ügyfélalkalmazás regisztrációját a hatókörök elérésére vonatkozó engedélyekkel.