Delen via

App-machtigingen configureren voor een web-API

In deze handleiding geeft u een client-app op die is geregistreerd bij het Microsoft Identity Platform met toegang op basis van machtigingen tot uw eigen web-API. U geeft de clienttoepassing ook toegang tot Microsoft Graph.

Door de bereiken van een web-API op te geven in de registratie van uw clienttoepassing, kan de clienttoepassing via het Microsoft Identity Platform een toegangstoken verkrijgen die deze bereiken bevat. Binnen de code kan de web-API vervolgens op machtigingen gebaseerde toegang tot zijn resources verlenen op basis van de scopes in het toegangstoken.

Vereisten

Machtigingen toevoegen voor toegang tot uw web-API

Als u clienttoepassingen toegang wilt geven tot web-API's, moet u machtigingen toevoegen aan de clienttoepassing om toegang te krijgen tot de web-API. Op dezelfde manier moet u in de web-API toegangsbereiken en -rollen configureren voor de clienttoepassing.

Als u een clienttoepassing toegang wilt verlenen tot uw eigen web-API, moet u twee app-registraties hebben;

In het diagram ziet u hoe de twee app-registraties zich verhouden tot elkaar, waarbij de client-app verschillende machtigingstypen heeft en de web-API verschillende bereiken heeft waartoe de clienttoepassing toegang heeft. In deze sectie voegt u machtigingen toe aan de registratie van de clienttoepassing.

Lijndiagram met een web-API met blootgelegde scopes aan de rechterkant en een client-app aan de linkerkant met deze scopes geselecteerd als machtigingen

Wanneer u zowel de clienttoepassing als de Web-API hebt geregistreerd en u de API hebt weergegeven door bereiken te maken, kunt u de machtigingen van de client voor de API configureren door de volgende stappen uit te voeren:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minstens een Cloudtoepassingsbeheerder.

  2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om over te schakelen naar de tenant met de app-registratie vanuit het menu Mappen en abonnementen.

  3. Blader naar entra-id-app-registraties> en selecteer vervolgens uw clienttoepassing (niet uw web-API).

  4. Selecteer API-machtigingen, voeg vervolgens een machtiging toe en selecteer Mijn API's in de zijbalk.

    Schermopname met gemarkeerde knoppen voor app-registraties, API-machtigingen, een machtiging toevoegen en Mijn API's om de gebruiker in staat te stellen API-machtigingen aan te vragen.

  5. Selecteer de web-API die u hebt geregistreerd als onderdeel van de vereisten en selecteer Gedelegeerde machtigingen.

    • Gedelegeerde machtigingen zijn geschikt voor client-apps die toegang hebben tot een web-API als de aangemelde gebruiker en waarvan de toegang moet worden beperkt tot de machtigingen die u in de volgende stap selecteert. Laat gedelegeerde machtigingen geselecteerd voor dit voorbeeld.

    • Toepassingsmachtigingen zijn voor service- of daemon-type toepassingen die toegang moeten hebben tot een web-API als zichzelf, zonder tussenkomst van de gebruiker voor aanmelding of toestemming. Tenzij u toepassingsrollen voor uw web-API hebt gedefinieerd, is deze optie uitgeschakeld.

  6. Vouw onder Machtigingen selecteren de resource open waarvan u de toepassingsgebieden hebt gedefinieerd voor uw web-API en selecteer de machtigingen die de client-app moet hebben voor de ingelogde gebruiker.

    • Als u de voorbeeldbereiknamen hebt gebruikt die zijn opgegeven in de vorige quickstart, ziet u Employees.Read.All en Employees.Write.All.

  7. Selecteer de machtiging die u hebt gemaakt tijdens het voltooien van de vereisten, bijvoorbeeld Employees.Read.All.

  8. Selecteer Machtigingen toevoegen om het proces te voltooien.

Nadat u machtigingen aan uw API hebt toegevoegd, ziet u de geselecteerde machtigingen onder Geconfigureerde machtigingen. In de volgende afbeelding zie je het voorbeeld van de gedelegeerde machtiging Employees.Read.All, toegevoegd aan de client-app registraties.

Geconfigureerd machtigingenpaneel in de Azure Portal dat de nieuw toegevoegde machtiging laat zien

Mogelijk ziet u ook de machtiging User.Read voor de Microsoft Graph API. Deze machtiging wordt automatisch toegevoegd wanneer u een app registreert in de Azure-portal.

Machtigingen toevoegen voor toegang tot Microsoft Graph

Naast toegang tot uw eigen web-API namens de aangemelde gebruiker, moet uw toepassing mogelijk ook de gegevens van de gebruiker (of andere gegevens) kunnen openen of wijzigen die zijn opgeslagen in Microsoft Graph. Het is ook mogelijk dat u een service- of daemon-app hebt die zelf toegang nodig heeft tot Microsoft Graph om bewerkingen uit te voeren zonder tussenkomst van de gebruiker.

Gedelegeerde machtiging voor Microsoft Graph

Configureer gedelegeerde machtigingen voor Microsoft Graph om ervoor te zorgen dat uw clienttoepassing bewerkingen namens de aangemelde gebruiker kan uitvoeren, bijvoorbeeld door hun e-mail te lezen of hun profiel te wijzigen. Standaard worden gebruikers van uw clienttoepassing gevraagd wanneer ze zich aanmelden om toestemming te geven voor de gedelegeerde machtigingen die u hiervoor hebt geconfigureerd.

  1. Selecteer op de pagina Overzicht van uw clienttoepassing API-machtigingen>Een machtiging toevoegen>Microsoft Graph

  2. Selecteer Gedelegeerde machtigingen. In Microsoft Graph worden veel machtigingen weergegeven, met de meestgebruikte bovenaan de lijst.

  3. Selecteer onder Machtigingen selecteren de volgende machtigingen:

    Machtiging Beschrijving
    email E-mailadres van gebruikers weergeven
    offline_access Toegang onderhouden tot gegevens waartoe u toegang hebt verleend
    openid Gebruikers aanmelden
    profile Basisprofiel van gebruikers weergeven

  4. Selecteer Machtigingen toevoegen om het proces te voltooien.

Wanneer u machtigingen configureert, worden gebruikers van uw app bij het aanmelden gevraagd om toestemming te geven dat uw app namens hen toegang kan krijgen tot de resource-API.

Als beheerder kunt u ook toestemming verlenen namens alle gebruikers, zodat ze hier niet om worden gevraagd. Beheerderstoestemming wordt verderop in het gedeelte Meer over API-machtigingen en beheerderstoestemming van dit artikel besproken.

App-machtiging voor Microsoft Graph

Configureer app-machtigingen voor een app die als zichzelf moet worden geverifieerd zonder tussenkomst van de gebruiker of toestemming. App-machtigingen worden meestal gebruikt door achtergrondservices of daemon-apps die toegang hebben tot een API op een 'headless' manier en door web-API's die toegang hebben tot een andere (downstream) API.

In de volgende stappen verleent u toestemming voor de machtiging Files.Read.All van Microsoft Graph als voorbeeld.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minstens een Cloudtoepassingsbeheerder.
  2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om over te schakelen naar de tenant met de app-registratie vanuit het menu Mappen en abonnementen.
  3. Blader naar Entra ID>App-registraties, en selecteer vervolgens uw clienttoepassing.
  4. Selecteer API-machtigingen>Toevoegen van een machtiging>microsoft>.
  5. Alle machtigingen die door Microsoft Graph worden weergegeven, worden weergegeven onder Machtigingen selecteren.
  6. Selecteer de machtiging of machtigingen die u uw applicatie wilt verlenen. U kunt bijvoorbeeld een daemon-app hebben waarmee bestanden in uw organisatie worden gescand en die u waarschuwt voor een specifiek bestandstype of specifieke bestandsnaam. Vouw onder Machtigingen selecterenbestanden uit en selecteer vervolgens de Files.Read.All machtiging.
  7. Selecteer Machtigingen toevoegen.
  8. Voor sommige machtigingen, zoals de machtiging Files.Read.All van Microsoft Graph, is beheerderstoestemming vereist. U verleent beheerderstoestemming door de knop Beheerderstoestemming verlenen te selecteren, zoals verderop wordt besproken in de sectie Beheerderstoestemming knop.

Aanmeldingsgegevens voor de client configureren

Apps die gebruikmaken van app-machtigingen verifiëren zichzelf met hun eigen aanmeldingsgegevens, zonder tussenkomst van de gebruiker. Voordat uw toepassing (of API) toegang kan krijgen tot Microsoft Graph, uw eigen web-API of een andere API met app-machtigingen, moet u de aanmeldingsgegevens van de clienttoepassing configureren.

Zie de sectie Referenties toevoegen van Quickstart voor meer informatie over het configureren van de referenties van een app : Een toepassing registreren bij het Microsoft Identity Platform.

Het deelvenster API-machtigingen van een app-registratie bevat de tabel Geconfigureerde machtigingen en de knop Beheerderstoestemming, die in de volgende secties worden beschreven.

Geconfigureerde machtigingen

In de tabel Geconfigureerde machtigingen in het deelvenster API-machtigingen ziet u de lijst met machtigingen die uw toepassing nodig heeft voor basisbewerkingen: de lijst met vereiste resourcetoegang (RRA). Gebruikers of hun beheerders, moeten toestemming geven voor deze machtigingen voordat uw app kan worden gebruikt. Andere, optionele machtigingen kunnen later tijdens runtime worden aangevraagd (met behulp van dynamische toestemming).

Dit is de minimale lijst met machtigingen waarmee gebruikers moeten instemmen voor gebruik van uw app. Er kunnen er meer zijn, maar deze machtigingen zijn altijd vereist. Ter beveiliging en om gebruikers en beheerders een prettiger gevoel te geven bij gebruik van uw app, moet u nooit vragen om iets wat u niet nodig hebt.

U kunt de machtigingen die in deze tabel worden weergegeven, toevoegen of verwijderen met behulp van de bovenstaande stappen. Als beheerder kunt u toestemming geven voor de volledige set van machtigingen van een API die in de tabel worden weergegeven en kunt u de toestemming voor afzonderlijke machtigingen intrekken.

Met de knop Beheerderstoestemming verlenen voor {uw tenant} kan een beheerder toestemming geven voor de machtigingen die zijn geconfigureerd voor de toepassing. Wanneer u de knop selecteert, wordt er een dialoogvenster weergegeven waarin u wordt gevraagd om de actie voor de toestemming te bevestigen.

Knop Beheerderstoestemming verlenen gemarkeerd in het deelvenster Geconfigureerde machtigingen in Azure Portal

Nadat toestemming is verleend, worden de machtigingen waarvoor beheerderstoestemming nodig was, weergegeven als machtigingen waarvoor toestemming is verleend:

Machtigingstabel configureren in Azure Portal met beheerderstoestemming verleend voor de machtiging Files.Read.All

De knop Beheerderstoestemming verlenen is uitgeschakeld als u geen beheerder bent of als er geen machtigingen zijn geconfigureerd voor de toepassing. Als u machtigingen hebt die zijn verleend maar nog niet zijn geconfigureerd, wordt u via de knop Beheerderstoestemming gevraagd om deze machtigingen af te handelen. U kunt deze toevoegen aan Geconfigureerde machtigingen, of u kunt ze verwijderen.

Toepassingsmachtigingen verwijderen

Het is belangrijk om een toepassing niet te veel machtigingen te geven dan nodig is. Beheerderstoestemming intrekken voor een machtiging in uw toepassing;

  1. Navigeer naar uw toepassing en selecteer API-machtigingen.
  2. Selecteer onder Geconfigureerde machtigingen de drie puntjes naast de machtiging die u wilt verwijderen en selecteer Beheerderstoestemming intrekken.
  3. Selecteer in het pop-upvenster dat wordt weergegeven Ja, verwijderen om de beheerderstoestemming voor de machtiging in te trekken.

Gerelateerde inhoud

Ga naar de volgende quickstart in de reeks voor informatie over het configureren van de accounttypen die toegang moeten hebben tot de toepassing. U wilt bijvoorbeeld alleen de toegang beperken tot die gebruikers in uw organisatie (één tenant) of gebruikers in andere Microsoft Entra-tenants (multitenant) en gebruikers met persoonlijke Microsoft-accounts (MSA).

De ondersteunde accounts door een toepassing wijzigen