Referentiebeheer configureren - Microsoft Graph API

VAN TOEPASSING OP: Alle API Management-lagen

In dit artikel wordt u begeleid bij de stappen die nodig zijn voor het maken van een beheerde verbinding met de Microsoft Graph API in Azure API Management. Het toekenningstype autorisatiecode wordt in dit voorbeeld gebruikt.

U leert het volgende:

• Een Microsoft Entra-toepassing maken
• Een referentieprovider maken en configureren in API Management
• Een verbinding configureren
• Een Microsoft Graph API maken in API Management en een beleid configureren
• Uw Microsoft Graph API testen in API Management

Vereisten

• Toegang tot een Microsoft Entra-tenant waarvoor u machtigingen hebt om een app-registratie te maken en beheerderstoestemming te verlenen voor de machtigingen van de app. Meer informatie

  Als u uw eigen ontwikkelaarstenant wilt maken, kunt u zich registreren voor het Microsoft 365 Developer Program.

• Een actief API Management-exemplaar. Als dat nodig is, maakt u een Azure API Management-exemplaar.

• Schakel een door het systeem toegewezen beheerde identiteit in voor API Management in het API Management-exemplaar.

Stap 1: Een Microsoft Entra-toepassing maken

Maak een Microsoft Entra-toepassing voor de API en geef deze de juiste machtigingen voor de aanvragen die u wilt aanroepen.

1. Meld u aan bij Azure Portal met een account met voldoende machtigingen in de tenant.

2. Zoek onder Azure Services naar Microsoft Entra-id.

3. Selecteer in het linkermenu App-registraties en selecteer vervolgens + Nieuwe registratie.

4. Voer op de pagina Een toepassing registreren de registratie-instellingen voor uw toepassing in:

   1. Voer in Naam een betekenisvolle naam in die wordt weergegeven aan gebruikers van de app, zoals MicrosoftGraphAuth.

   2. Selecteer in Ondersteunde accounttypen een optie die bij uw scenario past, bijvoorbeeld Alleen accounts in deze organisatiemap (één tenant).

   3. Stel de omleidings-URI in op het web en voer https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>de naam van de API Management-service in, waarbij u de referentieprovider configureert.

   4. Selecteer Registreren.

      

5. Selecteer API-machtigingen in het linkermenu en selecteer vervolgens + Een machtiging toevoegen.

   1. Selecteer Microsoft Graph en selecteer vervolgens Gedelegeerde machtigingen.

      Notitie

      Zorg ervoor dat de machtiging User.Read met het type Delegated al is toegevoegd.

   2. Typ Team, vouw de teamopties uit en selecteer Vervolgens Team.ReadBasic.All. Selecteer Machtigingen toevoegen.
   3. Selecteer vervolgens Beheerderstoestemming verlenen voor Standaarddirectory. De status van de machtigingen wordt gewijzigd in Verleend voor Standaardmap.

6. Selecteer Overzicht in het linkermenu. Zoek op de pagina Overzicht de waarde van de toepassings-id (client) en noteer deze voor gebruik in stap 2.

7. Selecteer certificaten en geheimen in het linkermenu en selecteer vervolgens + Nieuw clientgeheim.
   

   1. Voer een beschrijving in.
   2. Selecteer een optie voor Verlopen.
   3. Selecteer Toevoegen.
   4. Kopieer de waarde van het clientgeheim voordat u de pagina verlaat. U hebt deze nodig in stap 2.

Stap 2: een referentieprovider configureren in API Management

1. Meld u aan bij de portal en ga naar uw API Management-exemplaar.

2. Selecteer referentiebeheer in het linkermenu en selecteer vervolgens + Maken.
   

3. Voer op de pagina Referentieprovider maken de volgende instellingen in en selecteer Maken:

   Instellingen	Weergegeven als
   Naam van referentieprovider	Een naam van uw keuze, zoals MicrosoftEntraID-01
   Identiteitsprovider	Selecteer Azure Active Directory v1
   Toekenningstype	Autorisatiecode selecteren
   Autorisatie-URL	Optioneel voor Microsoft Entra-id-provider. Standaard is https://login.microsoftonline.com.
   Client ID	Plak de waarde die u eerder hebt gekopieerd uit de app-registratie
   Client secret	Plak de waarde die u eerder hebt gekopieerd uit de app-registratie
   Resource URL	https://graph.microsoft.com
   Tenant ID	Optioneel voor Microsoft Entra-id-provider. De standaardwaarde is Common.
   Bereiken	Optioneel voor Microsoft Entra-id-provider. Automatisch geconfigureerd vanuit de API-machtigingen van de Microsoft Entra-app.

Stap 3: Een verbinding configureren

Voer op het tabblad Verbinding maken ion de stappen voor de verbinding met de provider uit.

Notitie

Wanneer u een verbinding configureert, stelt API Management standaard een toegangsbeleid in dat toegang mogelijk maakt door de door systemen toegewezen beheerde identiteit van het exemplaar. Deze toegang is voldoende voor dit voorbeeld. U kunt indien nodig aanvullende toegangsbeleidsregels toevoegen.

1. Voer een Verbinding maken ionnaam in en selecteer Opslaan.
2. Onder stap 2: Meld u aan bij uw verbinding (voor het verlenen van autorisatiecodetype) selecteert u de koppeling om u aan te melden bij de referentieprovider. Voer de stappen uit om toegang te autoriseren en terug te keren naar API Management.
3. Onder stap 3: Bepalen wie toegang heeft tot deze verbinding (toegangsbeleid), wordt het lid van de beheerde identiteit vermeld. Het toevoegen van andere leden is optioneel, afhankelijk van uw scenario.
4. Selecteer Voltooien.

De nieuwe verbinding wordt weergegeven in de lijst met verbindingen en toont een status van Verbinding maken ed. Als u een andere verbinding wilt maken voor de referentieprovider, voert u de voorgaande stappen uit.

Tip

Gebruik de portal om op elk gewenst moment verbindingen met een referentieprovider toe te voegen, bij te werken of te verwijderen. Zie Meerdere verbindingen configureren voor meer informatie.

Notitie

Als u na deze stap uw Microsoft Graph-machtigingen bijwerkt, moet u stap 2 en 3 herhalen.

Stap 4: Een Microsoft Graph API maken in API Management en een beleid configureren

1. Meld u aan bij de portal en ga naar uw API Management-exemplaar.

2. Selecteer API's en API's >toevoegen in het linkermenu.

3. Selecteer HTTP en voer de volgende instellingen in. Selecteer vervolgens Maken.

   Instelling	Weergegeven als
   Weergavenaam	msgraph
   URL van webservice	https://graph.microsoft.com/v1.0
   API-URL-achtervoegsel	msgraph

4. Navigeer naar de zojuist gemaakte API en selecteer Bewerking toevoegen. Voer de volgende instellingen in en selecteer Opslaan.

   Instelling	Weergegeven als
   Weergavenaam	getprofile
   URL voor GET	/Me

5. Volg de voorgaande stappen om een andere bewerking toe te voegen met de volgende instellingen.

   Instelling	Weergegeven als
   Weergavenaam	getJoinedTeams
   URL voor GET	/me/joinedTeams

6. Selecteer Alle bewerkingen. Selecteer in de sectie Binnenkomende verwerking het pictogram (</>) (code-editor).

7. Kopieer en plak het volgende fragment. Werk het get-authorization-context beleid bij met de namen van de referentieprovider en de verbinding die u in de voorgaande stappen hebt geconfigureerd en selecteer Opslaan.

   • Vervang de naam van uw referentieprovider als de waarde van provider-id
   • Vervang de naam van uw verbinding als de waarde van authorization-id

   <policies>
       <inbound>
           <base />
           <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
          <set-header name="Authorization" exists-action="override">
              <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
          </set-header>
       </inbound>
       <backend>
           <base />
       </backend>
       <outbound>
           <base />
       </outbound>
       <on-error>
           <base />
       </on-error>
   </policies>
   

De voorgaande beleidsdefinitie bestaat uit twee onderdelen:

• Het get-authorization-contextbeleid haalt een autorisatietoken op door te verwijzen naar de referentieprovider en de verbinding die eerder zijn gemaakt.
• Het set-headerbeleid maakt een HTTP-header met het opgehaalde toegangstoken.

Stap 5: de API testen

1. Selecteer op het tabblad Testen één bewerking die u hebt geconfigureerd.

2. Selecteer Verzenden.

   

   Een geslaagd antwoord retourneert gebruikersgegevens van Microsoft Graph.

Gerelateerde inhoud

• Meer informatie over verificatie- en autorisatiebeleid in Azure API Management.
• Meer informatie over bereiken en machtigingen in Microsoft Entra ID.