Hozzáférés biztosítása a bejövő kiépítési API-hoz

Bevezetés

Miután konfigurálta az API-alapú bejövő kiépítési alkalmazást, hozzáférési engedélyeket kell adnia, hogy az API-ügyfelek kéréseket küldjenek a kiépítési /bulkUpload API-nak, és lekérdezhessék a kiépítési naplók API-t. Ez az oktatóanyag végigvezeti ezen engedélyek konfigurálásához szükséges lépéseken.

Attól függően, hogy az API-ügyfél hogyan hitelesít a Microsoft Entra-azonosítóval, két konfigurációs lehetőség közül választhat:

• Szolgáltatásnév konfigurálása: Kövesse az alábbi utasításokat, ha az API-ügyfél egy Regisztrált Microsoft Entra-alkalmazás szolgáltatásnevét szeretné használni, és az OAuth-ügyfél hitelesítő adataival szeretné hitelesíteni a folyamatot.
• Felügyelt identitás konfigurálása: Kövesse az alábbi utasításokat, ha az API-ügyfél Microsoft Entra által felügyelt identitást szeretne használni.

Egyszerű szolgáltatás konfigurálása

Ez a konfiguráció regisztrál egy alkalmazást a Microsoft Entra-azonosítóban, amely a külső API-ügyfelet jelöli, és engedélyt ad neki a bejövő kiépítési API meghívására. A szolgáltatásnév ügyfélazonosítója és az ügyfélkód használható az OAuth-ügyfél hitelesítő adatainak átadási folyamatában.

1. Jelentkezzen be a Microsoft Entra Felügyeleti központba (https://entra.microsoft.com) legalább az Alkalmazás Rendszergazda istrator bejelentkezési hitelesítő adataival.
2. Tallózással keresse meg a Microsoft Entra ID -Applications ->>Alkalmazásregisztrációk azonosítóját.
3. Kattintson az Új regisztráció lehetőségre.
4. Adjon meg egy alkalmazásnevet, válassza ki az alapértelmezett beállításokat, és kattintson a Regisztráció gombra.
5. Másolja ki az alkalmazás (ügyfél) és a címtár (bérlő) azonosító értékeit az Áttekintés panelről, és mentse azt későbbi használatra az API-ügyfélben.
6. Az alkalmazás helyi menüjében válassza a Tanúsítványok > titkos kódok lehetőséget.
7. Hozzon létre egy új ügyfélkulcsot. Adja meg a titkos kód és a lejárat dátumát.
8. Másolja ki az ügyfélkulcs generált értékét, és mentse az API-ügyfél későbbi használatra.
9. A helyi menü API-engedélyei között válassza az Engedély hozzáadása lehetőséget.
10. Az API-engedélyek kérése csoportban válassza a Microsoft Graphot.
11. Válassza ki az alkalmazásengedélyeket.
12. Keressen és válassza ki az AuditLog.Read.All és a SynchronizationData-User.Upload jogosultságot.
13. Kattintson a rendszergazdai hozzájárulás megadására a következő képernyőn az engedély-hozzárendelés befejezéséhez. Kattintson az Igen gombra a megerősítést kérő párbeszédpanelen. Az alkalmazásnak az alábbi engedélykészletekkel kell rendelkeznie.
14. Most már készen áll a szolgáltatásnév használatára az API-ügyféllel.
15. Éles számítási feladatokhoz javasoljuk, hogy az ügyféltanúsítvány-alapú hitelesítést használja a szolgáltatásnévvel vagy a felügyelt identitásokkal.

Felügyelt identitás konfigurálása

Ez a szakasz azt ismerteti, hogyan rendelheti hozzá a szükséges engedélyeket egy felügyelt identitáshoz.

1. Konfiguráljon egy felügyelt identitást az Azure-erőforrással való használatra.

2. Másolja ki a felügyelt identitás nevét a Microsoft Entra felügyeleti központból. Például: Az alábbi képernyőképen egy rendszer által hozzárendelt felügyelt identitás neve látható, amely egy "CSV2SCIMBulkUpload" nevű Azure Logic Apps-munkafolyamathoz van társítva.

   

3. Futtassa a következő PowerShell-szkriptet, hogy engedélyeket rendeljen a felügyelt identitáshoz.

   Install-Module Microsoft.Graph -Scope CurrentUser
   
   Connect-MgGraph -Scopes "Application.Read.All","AppRoleAssignment.ReadWrite.All,RoleManagement.ReadWrite.Directory"
   $graphApp = Get-MgServicePrincipal -Filter "AppId eq '00000003-0000-0000-c000-000000000000'"
   
   $PermissionName = "SynchronizationData-User.Upload"
   $AppRole = $graphApp.AppRoles | `
   Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
   $managedID = Get-MgServicePrincipal -Filter "DisplayName eq 'CSV2SCIMBulkUpload'"
   New-MgServicePrincipalAppRoleAssignment -PrincipalId $managedID.Id -ServicePrincipalId $managedID.Id -ResourceId $graphApp.Id -AppRoleId $AppRole.Id
   
   $PermissionName = "AuditLog.Read.All"
   $AppRole = $graphApp.AppRoles | `
   Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
   $managedID = Get-MgServicePrincipal -Filter "DisplayName eq 'CSV2SCIMBulkUpload'"
   New-MgServicePrincipalAppRoleAssignment -PrincipalId $managedID.Id -ServicePrincipalId $managedID.Id -ResourceId $graphApp.Id -AppRoleId $AppRole.Id
   

4. Az engedély alkalmazásának megerősítéséhez keresse meg a felügyelt identitásszolgáltatásnevet a Nagyvállalati alkalmazások területen a Microsoft Entra-azonosítóban. Távolítsa el az alkalmazástípus-szűrőt az összes szolgáltatásnév megtekintéséhez.

5. Kattintson a Biztonság területen az Engedélyek panelre. Győződjön meg arról, hogy az engedély be van állítva.

6. Most már készen áll a felügyelt identitás használatára az API-ügyféllel.

Következő lépések

• Rövid útmutató a cURL használatához
• A Postman használatának rövid útmutatója
• Rövid útmutató a Graph Explorer használatához
• Gyakori kérdések az API-alapú bejövő kiépítésről