Een Microsoft Graph-toepassing registreren

  • Artikel

Met Microsoft Graph kunt u veel van de resources binnen uw Azure AD B2C-tenant beheren, waaronder gebruikersaccounts van klanten en aangepast beleid. Door scripts of toepassingen te schrijven die de Microsoft Graph API aanroepen, kunt u tenantbeheertaken automatiseren, zoals:

  • Een bestaand gebruikersarchief migreren naar een Azure AD B2C-tenant
  • Aangepast beleid implementeren met een Azure Pipeline in Azure DevOps en aangepaste beleidssleutels beheren
  • Host gebruikersregistratie op uw eigen pagina en maak achter de schermen gebruikersaccounts in uw Azure AD B2C-directory
  • Toepassingsregistratie automatiseren
  • Auditlogboeken verkrijgen

De volgende secties helpen u bij het voorbereiden van het gebruik van de Microsoft Graph API om het beheer van resources in uw Azure AD B2C-directory te automatiseren.

Interactiemodi voor Microsoft Graph API

Er zijn twee communicatiemodi die u kunt gebruiken bij het werken met de Microsoft Graph API voor het beheren van resources in uw Azure AD B2C-tenant:

  • Interactief : geschikt voor run-once-taken. U gebruikt een beheerdersaccount in de B2C-tenant om de beheertaken uit te voeren. Voor deze modus moet een beheerder zich aanmelden met hun referenties voordat de Microsoft Graph API wordt aangeroepen.

  • Geautomatiseerd: voor geplande of continu uitgevoerde taken gebruikt deze methode een serviceaccount dat u configureert met de machtigingen die zijn vereist voor het uitvoeren van beheertaken. U maakt het 'serviceaccount' in Azure AD B2C door een toepassing te registreren die uw toepassingen en scripts gebruiken voor verificatie met behulp van de toepassings-id (client) en de OAuth 2.0-clientreferenties verlenen. In dit geval fungeert de toepassing als zichzelf om de Microsoft Graph API aan te roepen, niet de beheerdergebruiker zoals in de eerder beschreven interactieve methode.

U schakelt het scenario voor geautomatiseerde interactie in door een toepassingsregistratie te maken die wordt weergegeven in de volgende secties.

De Azure AD B2C-verificatieservice biedt rechtstreeks ondersteuning voor de toekenningsstroom voor OAuth 2.0-clientreferenties (momenteel in openbare preview), maar u kunt deze niet gebruiken om uw Azure AD B2C-resources te beheren via Microsoft Graph API. U kunt echter de clientreferentiestroom instellen met behulp van Microsoft Entra ID en het Microsoft Identity Platform-eindpunt /token voor een toepassing in uw Azure AD B2C-tenant.

Beheertoepassing registreren

Voordat uw scripts en toepassingen kunnen communiceren met de Microsoft Graph API voor het beheren van Azure AD B2C-resources, moet u een toepassingsregistratie maken in uw Azure AD B2C-tenant die de vereiste API-machtigingen verleent.

  1. Meld u aan bij de Azure-portal.
  2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.
  3. Zoek en selecteer Azure AD B2C in de Azure-portal.
  4. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.
  5. Voer een naam in voor de toepassing. Bijvoorbeeld managementapp1.
  6. Selecteer Alleen accounts in deze organisatiemap.
  7. Schakel onder Machtigingen het selectievakje Beheerderstoestemming verlenen voor openid en offline_access machtigingen uit.
  8. Selecteer Registreren.
  9. Noteer de toepassings-id (client) die wordt weergegeven op de overzichtspagina van de toepassing. U gebruikt deze waarde in een latere stap.

API-toegang verlenen

Voor toegang tot gegevens in Microsoft Graph verleent u de geregistreerde toepassing de relevante toepassingsmachtigingen. De effectieve machtigingen van uw toepassing zijn het volledige niveau van bevoegdheden die door de machtiging worden geïmpliceerd. Als u bijvoorbeeld elke gebruiker in uw Azure AD B2C-tenant wilt maken, lezen, bijwerken en verwijderen , voegt u de machtiging User.ReadWrite.All toe.

Notitie

De machtiging User.ReadWrite.All bevat niet de mogelijkheid om wachtwoorden van gebruikersaccounts bij te werken. Als uw toepassing wachtwoorden van gebruikersaccounts moet bijwerken, moet u de gebruikersbeheerderrol verlenen. Wanneer u de gebruikersbeheerdersrol verleent, is user.ReadWrite.All niet vereist. De rol gebruikersbeheerder bevat alles wat nodig is om gebruikers te beheren.

U kunt uw toepassing meerdere toepassingsmachtigingen verlenen. Als uw toepassing bijvoorbeeld ook groepen in uw Azure AD B2C-tenant moet beheren, voegt u ook de machtiging Group.ReadWrite.All toe.

App-registraties

  1. Selecteer onder Beheren de optie API-machtigingen.
  2. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.
  3. Selecteer het tabblad Microsoft-API's en selecteer vervolgens Microsoft Graph.
  4. Selecteer Toepassingstoestemming.
  5. Vouw de juiste machtigingsgroep uit en schakel het selectievakje in van de machtiging die u aan uw beheertoepassing wilt verlenen. Bijvoorbeeld:
    • User User.ReadWrite.All>: voor scenario's voor gebruikersmigratie of gebruikersbeheer.
    • Group Group.ReadWrite.All>: voor het maken van groepen, het lezen en bijwerken van groepslidmaatschappen en het verwijderen van groepen.
    • AuditLog>AuditLog.Read.All: voor het lezen van de auditlogboeken van de directory.
    • Policy>Policy.ReadWrite.TrustFramework: Voor CI/CD-scenario's (continue integratie/continue levering). Bijvoorbeeld aangepaste beleidsimplementatie met Azure Pipelines.
  6. Selecteer Machtigingen toevoegen. Wacht, zoals aangegeven, een paar minuten voordat u verdergaat met de volgende stap.
  7. Selecteer Beheerderstoestemming verlenen voor (naam van uw tenant).
  8. Meld u aan met een account in uw Azure AD B2C-tenant waaraan de rol cloudtoepassing Beheer istrator is toegewezen en selecteer vervolgens Beheerderstoestemming verlenen voor (uw tenantnaam).
  9. Selecteer Vernieuwen en controleer vervolgens of 'Verleend voor ...' wordt weergegeven onder Status. Het kan enkele minuten duren voordat de machtigingen zijn doorgegeven.

[Optioneel] Gebruikersbeheerdersrol verlenen

Als uw toepassing of script wachtwoorden van gebruikers moet bijwerken, moet u de rol Gebruikersbeheerder toewijzen aan uw toepassing. De rol Gebruikersbeheerder heeft een vaste set machtigingen die u aan uw toepassing verleent.

Voer de volgende stappen uit om de rol Gebruikersbeheerder toe te voegen:

  1. Meld u aan bij de Azure-portal.
  2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.
  3. Zoek Azure AD B2C en selecteer deze.
  4. Selecteer onder Beheren de optie Rollen en beheerders.
  5. Selecteer de rol Gebruikerbeheerder .
  6. Selecteer Toewijzingen toevoegen.
  7. Voer in het tekstvak Selecteren de naam of id in van de toepassing die u eerder hebt geregistreerd, bijvoorbeeld managementapp1. Wanneer deze wordt weergegeven in de zoekresultaten, selecteert u uw toepassing.
  8. Selecteer Toevoegen. Het kan enkele minuten duren voordat de machtigingen volledig zijn doorgegeven.

Clientgeheim maken

Uw toepassing heeft een clientgeheim nodig om de identiteit te bewijzen bij het aanvragen van een token. Voer de volgende stappen uit om het clientgeheim toe te voegen:

  1. Selecteer onder Beheren de optie Certificaten & Geheimen.
  2. Selecteer Nieuw clientgeheim.
  3. Voer een beschrijving voor het clientgeheim in het vak Beschrijving in. Bijvoorbeeld clientsecret1.
  4. Selecteer onder Verloopt een duur waarvoor het geheim geldig is en selecteer vervolgens Toevoegen.
  5. Noteer de Waarde van het geheim. U gebruikt deze waarde voor configuratie in een latere stap.

Volgende stappen

Nu u uw beheertoepassing hebt geregistreerd en deze de vereiste machtigingen hebt verleend, kunnen uw toepassingen en services (bijvoorbeeld Azure Pipelines) de referenties en machtigingen gebruiken om te communiceren met de Microsoft Graph API.