Share via

Zelfstudie: De tenant van uw klant voorbereiden om een Node.js daemontoepassing te autoriseren

  • Artikel

In deze zelfstudie leert u hoe u een toegangstoken verkrijgt en vervolgens een web-API aanroept in een Node.js daemontoepassing. U stelt de client-daemon-app in staat om een toegangstoken te verkrijgen met behulp van een eigen identiteit. Hiervoor registreert u eerst uw toepassing in uw Microsoft Entra-id voor de tenant van klanten.

In deze zelfstudie gaat u:

  • Registreer een web-API en configureer app-machtigingen in het Microsoft Entra-beheercentrum.
  • Registreer een client-daemontoepassing en ververleent deze app-machtigingen in het Microsoft Entra-beheercentrum.
  • Maak een clientgeheim voor uw daemontoepassing in het Microsoft Entra-beheercentrum.

Als u al een client-daemontoepassing en een web-API hebt geregistreerd in het Microsoft Entra-beheercentrum, kunt u de stappen in deze zelfstudie overslaan en vervolgens doorgaan met Toegangstoken verkrijgen voor het aanroepen van een API.

Vereisten

Een web-API-toepassing registreren

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassingsontwikkelaar.

  2. Als u toegang hebt tot meerdere tenants, gebruikt u het filter Mappen en abonnementen in het bovenste menu om over te schakelen naar de tenant van uw klant.

  3. Blader naar Identiteitstoepassingen>>App-registraties.

  4. Selecteer + Nieuwe registratie.

  5. Voer op de pagina Een toepassing registreren die wordt weergegeven de registratiegegevens van uw toepassing in:

    1. Voer in de sectie Naam een beschrijvende toepassingsnaam in die wordt weergegeven voor gebruikers van de app, bijvoorbeeld ciam-ToDoList-api.

    2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

  6. Selecteer Registreren om de toepassing te maken.

  7. Het deelvenster Overzicht van de toepassing wordt weergegeven wanneer de registratie is voltooid. Noteer de map-id (tenant) en de toepassings-id (client) die moeten worden gebruikt in de broncode van uw toepassing.

App-rollen configureren

Een API moet minimaal één app-rol publiceren voor toepassingen, ook wel Toepassingsmachtiging genoemd, zodat de client-apps zelf een toegangstoken kunnen verkrijgen. Toepassingsmachtigingen zijn het type machtigingen dat API's moeten publiceren wanneer ze clienttoepassingen in staat willen stellen zichzelf te verifiëren en geen gebruikers hoeven aan te melden. Voer de volgende stappen uit om een toepassingsmachtiging te publiceren:

  1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-ToDoList-api) om de bijbehorende overzichtspagina te openen.

  2. Selecteer onder Beherende optie App-rollen.

  3. Selecteer App-rol maken, voer de volgende waarden in en selecteer vervolgens Toepassen om uw wijzigingen op te slaan:

    Eigenschap Waarde
    Weergavenaam ToDoList.Read.All
    De toegestane ledentypen Toepassingen
    Waarde ToDoList.Read.All
    Description Toestaan dat de app de takenlijst van elke gebruiker kan lezen met behulp van de 'TodoListApi'

  4. Selecteer nogmaals App-rol maken , voer de volgende waarden in voor de tweede app-rol en selecteer vervolgens Toepassen om uw wijzigingen op te slaan:

    Eigenschap Waarde
    Weergavenaam ToDoList.ReadWrite.All
    De toegestane ledentypen Toepassingen
    Waarde ToDoList.ReadWrite.All
    Description Toestaan dat de app de Takenlijst van elke gebruiker kan lezen en schrijven met behulp van de 'ToDoListApi'

Idtyp-tokenclaim configureren

Tokens die door Microsoft Identity worden geretourneerd, worden kleiner gehouden om optimale prestaties te garanderen door clients die ze aanvragen. Als gevolg hiervan zijn verschillende claims niet meer standaard aanwezig in het token en moeten er specifiek per toepassing om worden gevraagd. Voor deze app neemt u optionele idtyp-claim op om de web-API te helpen bepalen of een token een app-token of een app+gebruiker-token is. Hoewel een combinatie van scp - en rollenclaims voor hetzelfde doel kan worden gebruikt, is het gebruik van de idtyp-claim de eenvoudigste manier om een app-token en een app+user-token van elkaar te onderscheiden. De waarde van deze claim is bijvoorbeeld app wanneer het token een token is dat alleen een app-token is.

Gebruik de volgende stappen om de optionele idtyp-claim te configureren:

  1. Selecteer onder Beheren de optie Tokenconfiguratie.

  2. Selecteer Optionele claim toevoegen.

  3. Kies onder Tokentypede optie Toegang.

  4. Selecteer het optionele claim-idtyp.

  5. Selecteer Toevoegen om uw wijzigingen op te slaan.

De daemon-app registreren

Als u wilt dat uw toepassing gebruikers kan aanmelden met Microsoft Entra, moet Microsoft Entra-id voor klanten op de hoogte worden gesteld van de toepassing die u maakt. De app-registratie brengt een vertrouwensrelatie tot stand tussen de app en Microsoft Entra. Wanneer u een toepassing registreert, genereert Externe id een unieke id die een toepassings-id (client-id) wordt genoemd, een waarde die wordt gebruikt om uw app te identificeren bij het maken van verificatieaanvragen.

In de volgende stappen ziet u hoe u uw app registreert in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassingsontwikkelaar.

  2. Als u toegang hebt tot meerdere tenants, gebruikt u het filter Mappen en abonnementen in het bovenste menu om over te schakelen naar de tenant van uw klant.

  3. Blader naar Identiteitstoepassingen>>App-registraties.

  4. Selecteer + Nieuwe registratie.

  5. Op de pagina Een toepassing registreren die wordt weergegeven;

    1. Voer een betekenisvolle toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-client-app.
    2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

  6. Selecteer Registreren.

  7. Het deelvenster Overzicht van de toepassing wordt weergegeven wanneer de registratie is geslaagd. Noteer de toepassings-id (client) die moet worden gebruikt in de broncode van uw toepassing.

Een clientgeheim maken

Maak vervolgens een clientgeheim voor de geregistreerde toepassing. De toepassing gebruikt het clientgeheim om de identiteit te bewijzen wanneer er tokens worden aangevraagd.

  1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de pagina Overzicht te openen.
  2. Selecteer onder Beheren de optie Certificaten en geheimen.
  3. Selecteer Nieuw clientgeheim.
  4. Voer in het vak Beschrijving een beschrijving in voor het clientgeheim (bijvoorbeeld clientgeheim van ciam-app).
  5. Selecteer onder Verloopt een duur waarvoor het geheim geldig is (volgens de beveiligingsregels van uw organisatie) en selecteer vervolgens Toevoegen.
  6. Noteer de Waarde van het geheim. U gebruikt deze waarde voor configuratie in een latere stap.

Notitie

De geheime waarde wordt niet meer weergegeven en kan op geen enkele manier worden opgehaald nadat u de pagina Certificaten en geheimen hebt verwijderd. Zorg er dus voor dat u de waarde opneemt.
Voor een betere beveiliging kunt u overwegen certificaten te gebruiken in plaats van clientgeheimen.

API-machtigingen verlenen aan de daemon-app

  1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt, zoals ciam-client-app.

  2. Selecteer onder Beheren de optie API-machtigingen.

  3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

  4. Selecteer het tabblad Mijn API's.

  5. Selecteer in de lijst met API's de API, zoals ciam-ToDoList-api.

  6. Selecteer de optie Toepassingsmachtigingen . We selecteren deze optie als de app zich aanmeldt als zichzelf, niet als gebruikers.

  7. Selecteer in de lijst met machtigingen TodoList.Read.All, ToDoList.ReadWrite.All (gebruik indien nodig het zoekvak).

  8. Selecteer de knop Toestemmingen toevoegen.

  9. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de daemon-app echter niet toestaat dat gebruikers ermee werken, kunnen de gebruikers zelf geen toestemming geven voor deze machtigingen. Om dit probleem op te lossen, moet u als beheerder toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

    1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer vervolgens Ja.
    2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide machtigingen.

Uw app-registratiegegevens verzamelen

In de volgende stap bereidt u uw daemon-app-toepassing voor. Zorg ervoor dat u de volgende gegevens hebt:

  • De toepassings-id (client) van de client-daemon-app die u hebt geregistreerd.
  • Het subdomein Map (tenant) waar u uw daemon-app hebt geregistreerd. Als u de naam van uw tenant niet hebt, leest u hoe u uw tenantgegevens leest.
  • De waarde van het toepassingsgeheim voor de daemon-app die u hebt gemaakt.
  • De toepassings-id (client) van de web-API-app die u hebt geregistreerd.

Volgende stappen

In de volgende zelfstudie bereidt u uw daemon Node.js toepassing voor.

Uw daemontoepassing voorbereiden