Szybki start: konfigurowanie aplikacji klienckiej w celu uzyskania dostępu do internetowego interfejsu API
W tym przewodniku Szybki start udostępnisz aplikacji klienckiej zarejestrowanej za pomocą platformy tożsamości Microsoft oparty na uprawnieniach dostęp o określonym zakresie do Twojego internetowego interfejsu API. Zapewnisz również aplikacji klienckiej dostęp do usługi Microsoft Graph.
Określając zakresy internetowego interfejsu API w rejestracji aplikacji klienckiej, aplikacja kliencka może uzyskać token dostępu zawierający te zakresy z Platforma tożsamości Microsoft. W kodzie internetowy interfejs API może następnie zapewnić dostęp oparty na uprawnieniach do swoich zasobów na podstawie zakresów znalezionych w tokenie dostępu.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją — utwórz bezpłatne konto
- Ukończenie przewodnika Szybki start: rejestrowanie aplikacji
- Ukończenie przewodnika Szybki start: konfigurowanie aplikacji w celu uwidocznienia internetowego interfejsu API
Dodawanie uprawnień dostępu do internetowego interfejsu API
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Dostęp do interfejsów API wymaga konfiguracji zakresów dostępu i ról. Jeśli chcesz uwidocznić internetowe interfejsy API aplikacji zasobów dla aplikacji klienckich, skonfiguruj zakresy dostępu i role dla interfejsu API. Jeśli chcesz, aby aplikacja kliencka mogła uzyskać dostęp do internetowego interfejsu API, skonfiguruj uprawnienia dostępu do interfejsu API w rejestracji aplikacji.
W pierwszym scenariuszu udzielasz aplikacji klienckiej dostępu do własnego internetowego interfejsu API, z których oba powinny zostać zarejestrowane w ramach wymagań wstępnych. Jeśli nie masz jeszcze zarejestrowanej aplikacji klienckiej i internetowego interfejsu API, wykonaj kroki opisane w dwóch artykułach Wymagania wstępne.
Na tym diagramie pokazano, jak te dwie rejestracje aplikacji odnoszą się do siebie nawzajem. W tej sekcji dodasz uprawnienia do rejestracji aplikacji klienckiej.
Po zarejestrowaniu aplikacji klienckiej i internetowego interfejsu API i uwidocznieniu interfejsu API przez utworzenie zakresów można skonfigurować uprawnienia klienta do interfejsu API, wykonując następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony
Ustawienia w górnym menu, aby przełączyć się do dzierżawy zawierającej rejestrację aplikacji z menu Katalogi i subskrypcje.Przejdź do pozycji Aplikacje tożsamości>> Rejestracje aplikacji, a następnie wybierz aplikację kliencą (a nie internetowy interfejs API).
Wybierz pozycję Uprawnienia>interfejsu API Dodaj uprawnienie>Moje interfejsy API.
Wybierz internetowy interfejs API zarejestrowany w ramach wymagań wstępnych.
Uprawnienia delegowane są domyślnie zaznaczone. Uprawnienia delegowane są odpowiednie dla aplikacji klienckich, które uzyskują dostęp do internetowego interfejsu API jako zalogowanego użytkownika i których dostęp powinien być ograniczony do uprawnień wybranych w następnym kroku. Pozostaw uprawnienia delegowane wybrane dla tego przykładu.
Uprawnienia aplikacji są przeznaczone dla aplikacji typu usługa lub demona, które muszą uzyskiwać dostęp do internetowego interfejsu API jako siebie bez interakcji z użytkownikiem w celu logowania się lub zgody. Jeśli nie zdefiniowano ról aplikacji dla internetowego interfejsu API, ta opcja jest wyłączona.
W obszarze Wybierz uprawnienia rozwiń zasób, którego zakresy zdefiniowano dla internetowego interfejsu API, a następnie wybierz uprawnienia, które aplikacja kliencka powinna mieć w imieniu zalogowanego użytkownika.
Jeśli użyto przykładowych nazw zakresów określonych w poprzednim przewodniku Szybki start, powinny zostać wyświetlone pozycje Employees.Read.All i Employees.Write.All. Wybierz pozycję Employees.Read.All lub inne uprawnienia, które mogły zostać utworzone podczas wykonywania wymagań wstępnych.
Wybierz pozycję Dodaj uprawnienia , aby ukończyć proces.
Po dodaniu uprawnień do interfejsu API powinny zostać wyświetlone wybrane uprawnienia w obszarze Skonfigurowane uprawnienia. Na poniższej ilustracji przedstawiono przykładowe uprawnienie delegowane Employees.Read.All dodane do rejestracji aplikacji klienckiej.
Możesz również zauważyć uprawnienie User.Read dla interfejsu API programu Microsoft Graph. To uprawnienie jest dodawane automatycznie podczas rejestrowania aplikacji w witrynie Azure Portal.
Dodawanie uprawnień dostępu do programu Microsoft Graph
Oprócz uzyskiwania dostępu do własnego internetowego interfejsu API w imieniu zalogowanego użytkownika aplikacja może również wymagać dostępu do lub zmodyfikowania danych użytkownika (lub innych) przechowywanych w programie Microsoft Graph. Możesz też mieć aplikację usługi lub demona, która musi mieć dostęp do programu Microsoft Graph jako samego siebie, wykonując operacje bez żadnej interakcji z użytkownikiem.
Delegowane uprawnienie do programu Microsoft Graph
Skonfiguruj delegowane uprawnienia do programu Microsoft Graph, aby umożliwić aplikacji klienckiej wykonywanie operacji w imieniu zalogowanego użytkownika, na przykład odczytywanie wiadomości e-mail lub modyfikowanie profilu. Domyślnie użytkownicy aplikacji klienckiej są proszeni o zalogowanie się w celu wyrażenia zgody na uprawnienia delegowane skonfigurowane dla tej aplikacji.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony
Ustawienia w górnym menu, aby przełączyć się do dzierżawy zawierającej rejestrację aplikacji z menu Katalogi i subskrypcje.Przejdź do pozycji Aplikacje tożsamości>> Rejestracje aplikacji, a następnie wybierz aplikację kliencą.
Wybieranie uprawnień>interfejsu API Dodaj uprawnienie>do programu Microsoft Graph
Wybieranie delegowanych uprawnień. Program Microsoft Graph uwidacznia wiele uprawnień, a najczęściej używane w górnej części listy.
W obszarze Wybierz uprawnienia wybierz następujące uprawnienia:
Uprawnienie opis emailWyświetlanie adresu e-mail użytkowników offline_accessZapewnianie dostępu do danych, do których masz dostęp openidLogowanie użytkowników profileWyświetlanie podstawowego profilu użytkowników Wybierz pozycję Dodaj uprawnienia , aby ukończyć proces.
Za każdym razem, gdy konfigurujesz uprawnienia, użytkownicy twojej aplikacji są proszeni o zalogowanie się, aby zezwolić aplikacji na dostęp do interfejsu API zasobów w ich imieniu.
Jako administrator możesz również udzielić zgody w imieniu wszystkich użytkowników, aby nie byli monitowani o to. Administracja zgoda zostanie omówiona w dalszej częściWięcej informacji na temat uprawnień interfejsu API i sekcji zgody administratora w tym artykule.
Uprawnienie aplikacji do programu Microsoft Graph
Skonfiguruj uprawnienia aplikacji dla aplikacji, która musi uwierzytelniać się jako sama bez interakcji z użytkownikiem lub zgody. Uprawnienia aplikacji są zwykle używane przez usługi w tle lub aplikacje demona, które uzyskują dostęp do interfejsu API w sposób "bezgłowy", oraz przez internetowe interfejsy API, które uzyskują dostęp do innego (podrzędnego) interfejsu API.
W poniższych krokach przyznasz uprawnienie do uprawnienia Do plików.Read.All programu Microsoft Graph jako przykładu.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony
Ustawienia w górnym menu, aby przełączyć się do dzierżawy zawierającej rejestrację aplikacji z menu Katalogi i subskrypcje.Przejdź do pozycji Aplikacje tożsamości>> Rejestracje aplikacji, a następnie wybierz aplikację kliencą.
Wybierz pozycję Uprawnienia>interfejsu API Dodaj uprawnienia>aplikacji programu Microsoft Graph.>
Wszystkie uprawnienia uwidocznione przez program Microsoft Graph są wyświetlane w obszarze Wybierz uprawnienia.
Wybierz uprawnienia lub uprawnienia, które chcesz przyznać aplikacji. Na przykład możesz mieć aplikację demona, która skanuje pliki w organizacji, ostrzegając o określonym typie pliku lub nazwie.
W obszarze Wybierz uprawnienia rozwiń węzeł Pliki, a następnie wybierz uprawnienie Files.Read.All .
Wybierz Przyznaj uprawnienia.
Niektóre uprawnienia, takie jak uprawnienia Files.Read.All programu Microsoft Graph, wymagają zgody administratora. Wyrażasz zgodę administratora, wybierając przycisk Udziel zgody administratora, omówiony w dalszej części sekcji przycisku Administracja zgody.
Konfigurowanie poświadczeń klienta
Aplikacje korzystające z uprawnień aplikacji uwierzytelniają się jako siebie przy użyciu własnych poświadczeń bez konieczności interakcji z użytkownikiem. Zanim aplikacja (lub interfejs API) będzie mogła uzyskiwać dostęp do programu Microsoft Graph, własnego internetowego interfejsu API lub innego interfejsu API przy użyciu uprawnień aplikacji, należy skonfigurować poświadczenia tej aplikacji klienckiej.
Aby uzyskać więcej informacji na temat konfigurowania poświadczeń aplikacji, zobacz sekcję Dodawanie poświadczeń w przewodniku Szybki start: rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft.
Więcej informacji na temat uprawnień interfejsu API i zgody administratora
Okienko uprawnień interfejsu API rejestracji aplikacji zawiera tabelę Skonfigurowanych uprawnień i może również zawierać tabelę Inne uprawnienia przyznane . Obie tabele i przycisk zgody Administracja zostały opisane w poniższych sekcjach.
Skonfigurowane uprawnienia
Tabela Skonfigurowane uprawnienia w okienku Uprawnienia interfejsu API zawiera listę uprawnień wymaganych przez aplikację dla podstawowej operacji — listy wymaganych dostępu do zasobów (RRA). Użytkownicy lub ich administratorzy będą musieli wyrazić zgodę na te uprawnienia przed rozpoczęciem korzystania z aplikacji. Inne, opcjonalne uprawnienia można zażądać później w czasie wykonywania (przy użyciu dynamicznej zgody).
Jest to minimalna lista uprawnień, które osoby będą musiały wyrazić zgodę na twoją aplikację. Może być więcej, ale zawsze będą one wymagane. Aby zapewnić bezpieczeństwo i ułatwić użytkownikom i administratorom korzystanie z aplikacji, nigdy nie pytaj o coś, czego nie potrzebujesz.
Możesz dodać lub usunąć uprawnienia wyświetlane w tej tabeli, wykonując kroki opisane powyżej lub z sekcji Inne uprawnienia przyznane (opisane w następnej sekcji). Jako administrator możesz udzielić zgody administratora dla pełnego zestawu uprawnień interfejsu API, które są wyświetlane w tabeli, i odwołać zgodę na poszczególne uprawnienia.
Inne przyznane uprawnienia
W okienku uprawnień interfejsu API może być również wyświetlona tabela zatytułowana Inne uprawnienia przyznane dla dzierżawy {twoja dzierżawa}. W tabeli Inne uprawnienia przyznane dla tabeli {twoja dzierżawa} przedstawiono uprawnienia przyznane dla całej dzierżawy dla dzierżawy, które nie zostały jawnie skonfigurowane w obiekcie aplikacji. Te uprawnienia były dynamicznie żądane i wyrażane przez administratora w imieniu wszystkich użytkowników. Ta sekcja jest wyświetlana tylko wtedy, gdy istnieje co najmniej jedno uprawnienie, które ma zastosowanie.
Pełny zestaw uprawnień interfejsu API lub poszczególnych uprawnień wyświetlanych w tej tabeli można dodać do tabeli Skonfigurowane uprawnienia . Jako administrator możesz odwołać zgodę administratora dla interfejsów API lub indywidualnych uprawnień w tej sekcji.
przycisk Administracja zgody
Przycisk Udziel zgody administratora dla {dzierżawy} umożliwia administratorowi udzielenie zgody administratora na uprawnienia skonfigurowane dla aplikacji. Po wybraniu przycisku zostanie wyświetlone okno dialogowe z żądaniem potwierdzenia akcji zgody.
Po udzieleniu zgody uprawnienia wymagane przez administratora są wyświetlane jako udzielone zgody:
Przycisk Udziel zgody administratora jest wyłączony, jeśli nie jesteś administratorem lub nie skonfigurowano uprawnień dla aplikacji. Jeśli masz uprawnienia, które zostały udzielone, ale nie zostały jeszcze skonfigurowane, przycisk zgody administratora wyświetli monit o wykonanie obsługi tych uprawnień. Możesz dodać je do skonfigurowanych uprawnień lub usunąć.
Następne kroki
Przejdź do następnego przewodnika Szybki start z serii, aby dowiedzieć się, jak skonfigurować typy kont, które mogą uzyskiwać dostęp do aplikacji. Możesz na przykład ograniczyć dostęp tylko do tych użytkowników w organizacji (z jedną dzierżawą) lub zezwolić użytkownikom w innych dzierżawach firmy Microsoft (wielodostępnych) i tych z osobistymi kontami Microsoft (MSA).