Delen via


Referentiebeheer configureren - Microsoft Graph API

VAN TOEPASSING OP: Alle API Management-lagen

In dit artikel wordt u begeleid bij de stappen die nodig zijn voor het maken van een beheerde verbinding met de Microsoft Graph API in Azure API Management. Het toekenningstype autorisatiecode wordt in dit voorbeeld gebruikt.

U leert het volgende:

  • Een Microsoft Entra-toepassing maken
  • Een referentieprovider maken en configureren in API Management
  • Een verbinding configureren
  • Een Microsoft Graph API maken in API Management en een beleid configureren
  • Uw Microsoft Graph API testen in API Management

Vereisten

Stap 1: Een Microsoft Entra-toepassing maken

Maak een Microsoft Entra-toepassing voor de API en geef deze de juiste machtigingen voor de aanvragen die u wilt aanroepen.

  1. Meld u aan bij Azure Portal met een account met voldoende machtigingen in de tenant.

  2. Zoek onder Azure Services naar Microsoft Entra-id.

  3. Selecteer in het linkermenu App-registraties en selecteer vervolgens + Nieuwe registratie.

  4. Voer op de pagina Een toepassing registreren de registratie-instellingen voor uw toepassing in:

    1. Voer in Naam een betekenisvolle naam in die wordt weergegeven aan gebruikers van de app, zoals MicrosoftGraphAuth.

    2. Selecteer in Ondersteunde accounttypen een optie die bij uw scenario past, bijvoorbeeld Alleen accounts in deze organisatiemap (één tenant).

    3. Stel de omleidings-URI in op het web en voer https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>de naam van de API Management-service in, waarbij u de referentieprovider configureert.

    4. Selecteer Registreren.

      Schermopname van het maken van een Microsoft Entra-app-registratie in de portal.

  5. Selecteer API-machtigingen in het linkermenu en selecteer vervolgens + Een machtiging toevoegen. Schermopname van het toevoegen van een API-machtiging in de portal.

    1. Selecteer Microsoft Graph en selecteer vervolgens Gedelegeerde machtigingen.

      Notitie

      Zorg ervoor dat de machtiging User.Read met het type Delegated al is toegevoegd.

    2. Typ Team, vouw de teamopties uit en selecteer Vervolgens Team.ReadBasic.All. Selecteer Machtigingen toevoegen.
    3. Selecteer vervolgens Beheerderstoestemming verlenen voor Standaarddirectory. De status van de machtigingen wordt gewijzigd in Verleend voor Standaardmap.
  6. Selecteer Overzicht in het linkermenu. Zoek op de pagina Overzicht de waarde van de toepassings-id (client) en noteer deze voor gebruik in stap 2.

  7. Selecteer certificaten en geheimen in het linkermenu en selecteer vervolgens + Nieuw clientgeheim.
    Schermopname van het maken van een app-geheim in de portal.

    1. Voer een beschrijving in.
    2. Selecteer een optie voor Verlopen.
    3. Selecteer Toevoegen.
    4. Kopieer de waarde van het clientgeheim voordat u de pagina verlaat. U hebt deze nodig in stap 2.

Stap 2: een referentieprovider configureren in API Management

  1. Meld u aan bij de portal en ga naar uw API Management-exemplaar.

  2. Selecteer referentiebeheer in het linkermenu en selecteer vervolgens + Maken.
    Schermopname van het maken van een API-referentie in de portal.

  3. Voer op de pagina Referentieprovider maken de volgende instellingen in en selecteer Maken:

    Instellingen Weergegeven als
    Naam van referentieprovider Een naam van uw keuze, zoals MicrosoftEntraID-01
    Identiteitsprovider Selecteer Azure Active Directory v1
    Toekenningstype Autorisatiecode selecteren
    Autorisatie-URL Optioneel voor Microsoft Entra-id-provider. Standaard is https://login.microsoftonline.com.
    Client ID Plak de waarde die u eerder hebt gekopieerd uit de app-registratie
    Client secret Plak de waarde die u eerder hebt gekopieerd uit de app-registratie
    Resource URL https://graph.microsoft.com
    Tenant ID Optioneel voor Microsoft Entra-id-provider. De standaardwaarde is Common.
    Bereiken Optioneel voor Microsoft Entra-id-provider. Automatisch geconfigureerd vanuit de API-machtigingen van de Microsoft Entra-app.

Stap 3: Een verbinding configureren

Voer op het tabblad Verbinding maken ion de stappen voor de verbinding met de provider uit.

Notitie

Wanneer u een verbinding configureert, stelt API Management standaard een toegangsbeleid in dat toegang mogelijk maakt door de door systemen toegewezen beheerde identiteit van het exemplaar. Deze toegang is voldoende voor dit voorbeeld. U kunt indien nodig aanvullende toegangsbeleidsregels toevoegen.

  1. Voer een Verbinding maken ionnaam in en selecteer Opslaan.
  2. Onder stap 2: Meld u aan bij uw verbinding (voor het verlenen van autorisatiecodetype) selecteert u de koppeling om u aan te melden bij de referentieprovider. Voer de stappen uit om toegang te autoriseren en terug te keren naar API Management.
  3. Onder stap 3: Bepalen wie toegang heeft tot deze verbinding (toegangsbeleid), wordt het lid van de beheerde identiteit vermeld. Het toevoegen van andere leden is optioneel, afhankelijk van uw scenario.
  4. Selecteer Voltooien.

De nieuwe verbinding wordt weergegeven in de lijst met verbindingen en toont een status van Verbinding maken ed. Als u een andere verbinding wilt maken voor de referentieprovider, voert u de voorgaande stappen uit.

Tip

Gebruik de portal om op elk gewenst moment verbindingen met een referentieprovider toe te voegen, bij te werken of te verwijderen. Zie Meerdere verbindingen configureren voor meer informatie.

Notitie

Als u na deze stap uw Microsoft Graph-machtigingen bijwerkt, moet u stap 2 en 3 herhalen.

Stap 4: Een Microsoft Graph API maken in API Management en een beleid configureren

  1. Meld u aan bij de portal en ga naar uw API Management-exemplaar.

  2. Selecteer API's en API's >toevoegen in het linkermenu.

  3. Selecteer HTTP en voer de volgende instellingen in. Selecteer vervolgens Maken.

    Instelling Weergegeven als
    Weergavenaam msgraph
    URL van webservice https://graph.microsoft.com/v1.0
    API-URL-achtervoegsel msgraph
  4. Navigeer naar de zojuist gemaakte API en selecteer Bewerking toevoegen. Voer de volgende instellingen in en selecteer Opslaan.

    Instelling Weergegeven als
    Weergavenaam getprofile
    URL voor GET /Me
  5. Volg de voorgaande stappen om een andere bewerking toe te voegen met de volgende instellingen.

    Instelling Weergegeven als
    Weergavenaam getJoinedTeams
    URL voor GET /me/joinedTeams
  6. Selecteer Alle bewerkingen. Selecteer in de sectie Binnenkomende verwerking het pictogram (</>) (code-editor).

  7. Kopieer en plak het volgende fragment. Werk het get-authorization-context beleid bij met de namen van de referentieprovider en de verbinding die u in de voorgaande stappen hebt geconfigureerd en selecteer Opslaan.

    • Vervang de naam van uw referentieprovider als de waarde van provider-id
    • Vervang de naam van uw verbinding als de waarde van authorization-id
    <policies>
        <inbound>
            <base />
            <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
           <set-header name="Authorization" exists-action="override">
               <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
           </set-header>
        </inbound>
        <backend>
            <base />
        </backend>
        <outbound>
            <base />
        </outbound>
        <on-error>
            <base />
        </on-error>
    </policies>
    

De voorgaande beleidsdefinitie bestaat uit twee onderdelen:

Stap 5: de API testen

  1. Selecteer op het tabblad Testen één bewerking die u hebt geconfigureerd.

  2. Selecteer Verzenden.

    Schermopname van het testen van de Graph API in de portal.

    Een geslaagd antwoord retourneert gebruikersgegevens van Microsoft Graph.