Aggiungere un'applicazione API Web al tenant di Azure Active Directory B2C

Questo articolo illustra come registrare le risorse API Web nel tenant di Azure Active Directory B2C (Azure AD B2C) in modo che possano accettare e rispondere alle richieste da parte delle applicazioni client che presentano un token di accesso.

Per registrare un'applicazione nel tenant di Azure AD B2C, è possibile usare la nuova esperienza di Registrazioni app unificata di portale di Azure o l'esperienza legacy delle applicazioni (legacy). Altre informazioni sulla nuova esperienza.

Registrazioni per l'app

1. Accedi al portale di Azure.
2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
3. Nel menu a sinistra selezionare Azure AD B2C. In alternativa, selezionare Tutti i servizi e quindi cercare e selezionare Azure AD B2C.
4. Selezionare Registrazioni app e quindi Nuova registrazione.
5. Immettere un nome per l'applicazione. Ad esempio, webapi1.
6. In URI di reindirizzamento selezionare Web e quindi immettere un endpoint a cui Azure AD B2C deve restituire eventuali token richiesti dall'applicazione. In un'applicazione di produzione, è possibile impostare l'URI di reindirizzamento un endpoint come https://localhost:5000. Durante lo sviluppo o il test, è possibile impostarlo su https://jwt.ms, un'applicazione Web di proprietà di Microsoft che visualizza il contenuto decodificato di un token (il contenuto del token non lascia mai il browser). È possibile aggiungere e modificare gli URI di reindirizzamento nelle applicazioni registrate in qualsiasi momento.
7. Selezionare Registra.
8. Registrare l'ID applicazione (client) da usare nel codice dell'API Web.

Applicazioni (legacy)

1. Accedi al portale di Azure.
2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
3. Scegliere Tutti i servizi nell'angolo in alto a sinistra nel portale di Azure e quindi cercare e selezionare Azure AD B2C.
4. Selezionare Applicazioni (legacy) e quindi Aggiungi.
5. Immettere un nome per l'applicazione. Ad esempio, webapi1.
6. Per Includi app Web/API Web e Consenti il flusso implicito, selezionare Sì.
7. Per URL di risposta, immettere un endpoint a cui Azure AD B2C deve restituire eventuali token richiesti dall'applicazione. Nell'applicazione di produzione è possibile impostare l'URL di risposta su un valore come https://localhost:44332. A scopo di test, impostare l'URL di risposta su https://jwt.ms.
8. Per URI ID app immettere l'identificatore usato per l'API Web. L'URI completo dell'identificatore, incluso il dominio, viene generato automaticamente. Ad esempio, https://contosotenant.onmicrosoft.com/api.
9. Seleziona Crea.
10. Nella pagina delle proprietà prendere nota dell'ID applicazione, che verrà usato durante la configurazione dell'applicazione Web.

Configurare gli ambiti

Gli ambiti consentono di regolamentare l'accesso alle risorse protette. Vengono usati dall'API Web per implementare il controllo degli accessi in base all'ambito. Ad esempio, gli utenti dell'API Web possono avere accesso sia in lettura sia in scrittura oppure possono avere solo accesso in lettura. In questa esercitazione vengono usati gli ambiti per definire autorizzazioni di lettura e scrittura per l'API Web.

Registrazioni per l'app

1. Selezionare Registrazioni app.
2. Selezionare l'applicazione webapi1 per aprire la pagina Panoramica.
3. In Gestisci selezionare Esponi un'API.
4. Accanto a URI ID applicazione selezionare il collegamento Aggiungi .
5. Sostituire il valore predefinito (un GUID) con api, quindi selezionare Salva. Viene visualizzato l'URI completo, che deve essere nel formato https://your-tenant-name.onmicrosoft.com/api. Quando l'applicazione Web richiede un token di accesso per l'API, deve aggiungere questo URI come prefisso per ogni ambito definito per l'API.
6. In Ambiti definiti da questa API selezionare Aggiungi un ambito.
7. Immettere i valori seguenti per creare un ambito che definisce l'accesso in lettura all'API e quindi selezionare Aggiungi ambito:
   1. Nome ambito: demo.read
   2. Nome visualizzato per il consenso amministratore: Read access to demo API
   3. Descrizione del consenso amministratore: Allows read access to the demo API
8. Selezionare Aggiungi un ambito, immettere i valori seguenti per aggiungere un ambito che definisce l'accesso in scrittura all'API e quindi selezionare Aggiungi ambito:
   1. Nome ambito: demo.write
   2. Nome visualizzato per il consenso amministratore: Write access to demo API
   3. Descrizione del consenso amministratore: Allows write access to the demo API

Applicazioni (legacy)

1. Selezionare Applicazioni (legacy).
2. Selezionare l'applicazione webapi1 per aprire la pagina Proprietà.
3. Selezionare Ambiti pubblicati. Gli ambiti pubblicati possono essere usati per concedere a un'applicazione client determinate autorizzazioni per l'API Web.
4. Immettere demo.read come AMBITO e Read access to the web API come DESCRIZIONE.
5. Immettere demo.write come AMBITO e Write access to the web API come DESCRIZIONE.
6. Seleziona Salva.

Concedere le autorizzazioni

Per chiamare un'API Web protetta da un'applicazione, è necessario concedere all'applicazione le autorizzazioni per l'API. Ad esempio, in Esercitazione: Registrare un'applicazione in Azure Active Directory B2C, un'applicazione Web denominata webapp1 viene registrata in Azure AD B2C. Questa applicazione può essere usata per chiamare l'API Web.

Registrazioni per l'app

1. Selezionare Registrazioni app e quindi l'applicazione Web che deve avere accesso all'API. Ad esempio, webapp1.
2. In Gestisci selezionare Autorizzazioni API.
3. In Autorizzazioni configurate selezionare Aggiungi un'autorizzazione.
4. Selezionare la scheda Le mie API.
5. Selezionare l'API per cui è necessario concedere l'accesso all'applicazione Web. Ad esempio, webapi1.
6. In Autorizzazione espandere demo e quindi selezionare gli ambiti definiti in precedenza. Ad esempio, demo.read e demo.write.
7. Selezionare Aggiungi autorizzazioni.
8. Selezionare Concedi consenso amministratore per (nome del tenant).
9. Se viene richiesto di selezionare un account, selezionare l'account amministratore attualmente connesso oppure accedere con un account nel tenant di Azure AD B2C a cui sia stato assegnato almeno il ruolo di amministratore applicazione cloud.
10. Selezionare Sì.
11. Selezionare Aggiorna e quindi verificare che il testo "Concesso per" sia visualizzato in Stato per entrambi gli ambiti.

Applicazioni (legacy)

1. Selezionare Applicazioni (legacy) e quindi l'applicazione Web che deve avere accesso all'API. Ad esempio, webapp1.
2. Selezionare Accesso all'API e quindi Aggiungi.
3. Nell'elenco a discesa Seleziona API selezionare l'API per cui è necessario concedere l'accesso all'applicazione Web. Ad esempio, webapi1.
4. Nell'elenco a discesa Seleziona ambiti selezionare gli ambiti definiti in precedenza. Ad esempio, demo.read e demo.write.
5. Seleziona OK.

L'applicazione verrà registrata per la chiamata dell'API Web protetta. Un utente esegue l'autenticazione con Azure AD B2C per usare l'applicazione. L'applicazione ottiene una concessione di autorizzazione da Azure AD B2C per l'accesso all'API Web protetta.