Rejestrowanie aplikacji programu Microsoft Graph

  • Artykuł

Program Microsoft Graph umożliwia zarządzanie wieloma zasobami w dzierżawie usługi Azure AD B2C, w tym kontami użytkowników klientów i zasadami niestandardowymi. Pisząc skrypty lub aplikacje wywołujące interfejs API programu Microsoft Graph, można zautomatyzować zadania zarządzania dzierżawami, takie jak:

  • Migrowanie istniejącego magazynu użytkowników do dzierżawy usługi Azure AD B2C
  • Wdrażanie zasad niestandardowych za pomocą usługi Azure Pipeline w usłudze Azure DevOps i zarządzanie niestandardowymi kluczami zasad
  • Rejestracja użytkownika hosta na własnej stronie i tworzenie kont użytkowników w katalogu usługi Azure AD B2C w tle
  • Automatyzowanie rejestracji aplikacji
  • Uzyskiwanie dzienników inspekcji

Poniższe sekcje ułatwiają przygotowanie się do korzystania z interfejsu API programu Microsoft Graph w celu zautomatyzowania zarządzania zasobami w katalogu usługi Azure AD B2C.

Tryby interakcji interfejsu API programu Microsoft Graph

Istnieją dwa tryby komunikacji, których można użyć podczas pracy z interfejsem API programu Microsoft Graph w celu zarządzania zasobami w dzierżawie usługi Azure AD B2C:

  • Interaktywne — odpowiednie dla zadań uruchamianych raz, do wykonywania zadań zarządzania należy użyć konta administratora w dzierżawie B2C. Ten tryb wymaga od administratora zalogowania się przy użyciu poświadczeń przed wywołaniem interfejsu API programu Microsoft Graph.

  • Zautomatyzowane — w przypadku zaplanowanych lub stale uruchamianych zadań ta metoda używa konta usługi skonfigurowanego z uprawnieniami wymaganymi do wykonywania zadań zarządzania. Utworzysz "konto usługi" w usłudze Azure AD B2C, rejestrując aplikację używaną przez aplikacje i skrypty do uwierzytelniania przy użyciu identyfikatora aplikacji (klienta) i udzielenia poświadczeń klienta OAuth 2.0. W takim przypadku aplikacja działa jako sama w celu wywołania interfejsu API programu Microsoft Graph, a nie użytkownika administratora, jak w wcześniej opisanej metodzie interaktywnej.

Scenariusz zautomatyzowanej interakcji można włączyć, tworząc rejestrację aplikacji pokazaną w poniższych sekcjach.

Usługa uwierzytelniania usługi Azure AD B2C bezpośrednio obsługuje przepływ udzielania poświadczeń klienta OAuth 2.0 (obecnie w publicznej wersji zapoznawczej), ale nie można jej używać do zarządzania zasobami usługi Azure AD B2C za pośrednictwem interfejsu API programu Microsoft Graph. Można jednak skonfigurować przepływ poświadczeń klienta przy użyciu identyfikatora Entra firmy Microsoft i punktu końcowego Platforma tożsamości Microsoft /token dla aplikacji w dzierżawie usługi Azure AD B2C.

Rejestrowanie aplikacji do zarządzania

Zanim skrypty i aplikacje będą mogły korzystać z interfejsu API programu Microsoft Graph w celu zarządzania zasobami usługi Azure AD B2C, należy utworzyć rejestrację aplikacji w dzierżawie usługi Azure AD B2C, która przyznaje wymagane uprawnienia interfejsu API.

  1. Zaloguj się w witrynie Azure Portal.
  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.
  3. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.
  4. Wybierz pozycję Rejestracje aplikacji, a następnie wybierz pozycję Nowa rejestracja.
  5. Wprowadź nazwę aplikacji. Na przykład managementapp1.
  6. Wybierz pozycję Konta tylko w tym katalogu organizacyjnym.
  7. W obszarze Uprawnienia wyczyść pole wyboru Udziel zgody administratora na otwieranie i offline_access uprawnienia .
  8. Wybierz opcję Zarejestruj.
  9. Zarejestruj identyfikator aplikacji (klienta) wyświetlany na stronie przeglądu aplikacji. Ta wartość jest używana w późniejszym kroku.

Udzielanie dostępu do interfejsu API

Aby aplikacja mogła uzyskiwać dostęp do danych w programie Microsoft Graph, przyznaj zarejestrowanej aplikacji odpowiednie uprawnienia aplikacji. Skuteczne uprawnienia aplikacji to pełny poziom uprawnień implikowany przez uprawnienie. Aby na przykład utworzyć, odczytać, zaktualizować i usunąć każdego użytkownika w dzierżawie usługi Azure AD B2C, dodaj uprawnienie User.ReadWrite.All.

Uwaga

Uprawnienie User.ReadWrite.All nie obejmuje możliwości aktualizowania haseł kont użytkowników. Jeśli aplikacja musi zaktualizować hasła konta użytkownika, przyznaj rolę administratora użytkowników. W przypadku udzielania roli administratora użytkownika element User.ReadWrite.All nie jest wymagany. Rola administratora użytkownika obejmuje wszystkie elementy potrzebne do zarządzania użytkownikami.

Możesz przyznać aplikacji wiele uprawnień. Jeśli na przykład aplikacja musi również zarządzać grupami w dzierżawie usługi Azure AD B2C, dodaj również uprawnienie Group.ReadWrite.All .

Rejestracje aplikacji

  1. W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
  2. W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
  3. Wybierz kartę Interfejsy API firmy Microsoft, a następnie wybierz pozycję Microsoft Graph.
  4. Wybierz Uprawnienia aplikacji.
  5. Rozwiń odpowiednią grupę uprawnień i zaznacz pole wyboru uprawnienia, aby udzielić aplikacji do zarządzania. Na przykład: .
    • User.ReadWrite.All>: w przypadku scenariuszy migracji użytkowników lub zarządzania użytkownikami.
    • Group Group.ReadWrite.All>: tworzenie grup, odczytywanie i aktualizowanie członkostwa w grupach oraz usuwanie grup.
    • AuditLog AuditLog.Read.All>: aby odczytać dzienniki inspekcji katalogu.
    • Policy.ReadWrite.TrustFramework>: w przypadku scenariuszy ciągłej integracji/ciągłego dostarczania (CI/CD). Na przykład wdrożenie zasad niestandardowych za pomocą usługi Azure Pipelines.
  6. Wybierz Przyznaj uprawnienia. Zgodnie z zaleceniami poczekaj kilka minut, zanim przejdziesz do następnego kroku.
  7. Wybierz pozycję Udziel zgody administratora (nazwa dzierżawy).
  8. Zaloguj się przy użyciu konta w dzierżawie usługi Azure AD B2C, do której przypisano rolę Administracja istrator aplikacji w chmurze, a następnie wybierz pozycję Udziel zgody administratora (nazwa dzierżawy).
  9. Wybierz pozycję Odśwież, a następnie sprawdź, czy wyrażenie "Przyznane dla ..." pojawi się w obszarze Stan. Propagacja uprawnień może potrwać kilka minut.

[Opcjonalnie] Udzielanie roli administratora użytkowników

Jeśli aplikacja lub skrypt musi zaktualizować hasła użytkowników, musisz przypisać rolę administratora użytkowników do aplikacji. Rola administrator użytkowników ma stały zestaw uprawnień udzielanych aplikacji.

Aby dodać rolę administratora użytkowników, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.
  3. Wyszukaj i wybierz Azure AD B2C.
  4. W obszarze Zarządzanie wybierz pozycję Role i administratorzy.
  5. Wybierz rolę Administrator użytkowników.
  6. Wybierz pozycję Dodaj przypisania.
  7. W polu tekstowym Wybierz wprowadź nazwę lub identyfikator zarejestrowanej wcześniej aplikacji, na przykład managementapp1. Gdy pojawi się on w wynikach wyszukiwania, wybierz aplikację.
  8. Wybierz Dodaj. Może upłynąć kilka minut, aby uprawnienia mogły zostać w pełni propagowane.

Tworzenie wpisu tajnego klienta

Aplikacja potrzebuje wpisu tajnego klienta, aby udowodnić swoją tożsamość podczas żądania tokenu. Aby dodać klucz tajny klienta, wykonaj następujące kroki:

  1. W obszarze Zarządzanie wybierz pozycję Wpisy tajne certyfikatów&.
  2. Wybierz Nowy klucz tajny klienta.
  3. Wprowadź opis wpisu tajnego klienta w polu Opis . Na przykład clientsecret1.
  4. W obszarze Wygasa wybierz czas trwania, dla którego wpis tajny jest prawidłowy, a następnie wybierz pozycję Dodaj.
  5. Zarejestruj wartość wpisu tajnego. Ta wartość jest używana do konfiguracji w późniejszym kroku.

Następne kroki

Teraz, po zarejestrowaniu aplikacji do zarządzania i przyznaniu jej wymaganych uprawnień, aplikacje i usługi (na przykład Azure Pipelines) mogą używać swoich poświadczeń i uprawnień do interakcji z interfejsem API programu Microsoft Graph.