Udostępnij za pośrednictwem

Samouczek: przygotowywanie dzierżawy klienta do autoryzowania aplikacji demona Node.js

  • Artykuł

Z tego samouczka dowiesz się, jak uzyskać token dostępu, a następnie wywołać internetowy interfejs API w aplikacji demona Node.js. Aplikacja demona klienta umożliwia uzyskanie tokenu dostępu przy użyciu własnej tożsamości. W tym celu należy najpierw zarejestrować aplikację w identyfikatorze Microsoft Entra dla dzierżawy klientów.

W tym samouczku wykonasz następujące elementy:

  • Zarejestruj internetowy interfejs API i skonfiguruj uprawnienia aplikacji w centrum administracyjnym Microsoft Entra.
  • Zarejestruj aplikację demona klienta, a następnie przyznaj jej uprawnienia aplikacji w centrum administracyjnym Microsoft Entra.
  • Utwórz klucz tajny klienta dla aplikacji demona w centrum administracyjnym Microsoft Entra.

Jeśli aplikacja demona klienta i internetowy interfejs API zostały już zarejestrowane w centrum administracyjnym Microsoft Entra, możesz pominąć kroki opisane w tym samouczku, a następnie przejść do sekcji Uzyskiwanie tokenu dostępu do wywoływania interfejsu API.

Wymagania wstępne

Rejestrowanie aplikacji internetowego interfejsu API

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej dewelopera aplikacji.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj filtru Katalogi i subskrypcje w górnym menu, aby przełączyć się do dzierżawy klienta.

  3. Przejdź dosekcji Aplikacje>tożsamości>Rejestracje aplikacji.

  4. Wybierz pozycję + Nowa rejestracja.

  5. Na wyświetlonej stronie Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji:

    1. W sekcji Nazwa wprowadź zrozumiałą nazwę aplikacji, która będzie wyświetlana dla użytkowników aplikacji, na przykład ciam-ToDoList-api.

    2. W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.

  6. Wybierz pozycję Zarejestruj, aby utworzyć aplikację.

  7. Po zakończeniu rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zarejestruj identyfikator katalogu (dzierżawy) i identyfikator aplikacji (klienta), który ma być używany w kodzie źródłowym aplikacji.

Konfigurowanie ról aplikacji

Interfejs API musi opublikować co najmniej jedną rolę aplikacji dla aplikacji, nazywanych również uprawnieniem aplikacji, aby aplikacje klienckie uzyskały token dostępu jako siebie. Uprawnienia aplikacji są typami uprawnień, które interfejsy API powinny publikować, gdy chcą umożliwić aplikacjom klienckim pomyślne uwierzytelnianie jako siebie i nie muszą się logować użytkowników. Aby opublikować uprawnienie aplikacji, wykonaj następujące kroki:

  1. Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (taką jak ciam-ToDoList-api), aby otworzyć stronę Przegląd.

  2. W obszarze Zarządzanie wybierz pozycję Role aplikacji.

  3. Wybierz pozycję Utwórz rolę aplikacji, a następnie wprowadź następujące wartości, a następnie wybierz pozycję Zastosuj , aby zapisać zmiany:

    Właściwość Wartość
    Nazwa wyświetlana ToDoList.Read.All
    Dozwolone typy elementów członkowskich Aplikacje
    Wartość ToDoList.Read.All
    Opis Zezwalaj aplikacji na odczytywanie listy zadań do wykonania każdego użytkownika przy użyciu listy "TodoListApi"

  4. Ponownie wybierz pozycję Utwórz rolę aplikacji , a następnie wprowadź następujące wartości dla drugiej roli aplikacji, a następnie wybierz pozycję Zastosuj , aby zapisać zmiany:

    Właściwość Wartość
    Nazwa wyświetlana ToDoList.ReadWrite.All
    Dozwolone typy elementów członkowskich Aplikacje
    Wartość ToDoList.ReadWrite.All
    Opis Zezwalaj aplikacji na odczytywanie i zapisywanie listy zadań do wykonania każdego użytkownika przy użyciu listy "ToDoListApi"

Konfigurowanie oświadczenia tokenu idtyp

Tokeny zwracane przez tożsamość firmy Microsoft są mniejsze, aby zapewnić optymalną wydajność klientów, którzy ich żądają. W związku z tym kilka oświadczeń nie jest już obecnych w tokenie domyślnie i musi zostać poproszonych o specjalnie dla poszczególnych aplikacji. W przypadku tej aplikacji dołączasz opcjonalne oświadczenie idtyp , aby ułatwić internetowy interfejs API określenie, czy token jest tokenem aplikacji, czy tokenem aplikacji i tokenem użytkownika. Mimo że kombinacja oświadczeń scp i ról może być używana w tym samym celu, użycie oświadczenia idtyp jest najprostszym sposobem przekazania tokenu aplikacji i tokenu aplikacji i tokenu użytkownika. Na przykład wartość tego oświadczenia to aplikacja , gdy token jest tokenem tylko dla aplikacji.

Aby skonfigurować oświadczenie opcjonalne idtyp , wykonaj następujące kroki:

  1. W obszarze Zarządzanie wybierz pozycję Konfiguracja tokenu.

  2. Wybierz pozycję Dodaj oświadczenie opcjonalne.

  3. W obszarze Typ tokenu wybierz pozycję Dostęp.

  4. Wybierz opcjonalny identyfikator oświadczenia.

  5. Wybierz opcję Dodaj, aby zapisać zmiany.

Rejestrowanie aplikacji demona

Aby umożliwić aplikacji logowanie użytkowników przy użyciu Microsoft Entra, Microsoft Entra identyfikator dla klientów musi być świadomy tworzonej aplikacji. Rejestracja aplikacji ustanawia relację zaufania między aplikacją a Microsoft Entra. Podczas rejestrowania aplikacji identyfikator zewnętrzny generuje unikatowy identyfikator nazywany identyfikatorem aplikacji (klienta), wartością używaną do identyfikowania aplikacji podczas tworzenia żądań uwierzytelniania.

W poniższych krokach pokazano, jak zarejestrować aplikację w centrum administracyjnym Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej dewelopera aplikacji.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj filtru Katalogi i subskrypcje w górnym menu, aby przełączyć się do dzierżawy klienta.

  3. Przejdź dosekcji Aplikacje>tożsamości>Rejestracje aplikacji.

  4. Wybierz pozycję + Nowa rejestracja.

  5. Na wyświetlonej stronie Rejestrowanie aplikacji ;

    1. Wprowadź zrozumiałą nazwę aplikacji wyświetlaną dla użytkowników aplikacji, na przykład ciam-client-app.
    2. W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.

  6. Wybierz pozycję Zarejestruj.

  7. Po pomyślnej rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zarejestruj identyfikator aplikacji (klienta), który ma być używany w kodzie źródłowym aplikacji.

Tworzenie wpisu tajnego klienta

Utwórz klucz tajny klienta dla zarejestrowanej aplikacji. Aplikacja używa klucza tajnego klienta, aby udowodnić swoją tożsamość, gdy żąda tokenów.

  1. Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (na przykład ciam-client-app), aby otworzyć stronę Przegląd.
  2. W obszarze Zarządzanie wybierz pozycję Certyfikaty & tajne.
  3. Wybierz pozycję Nowy klucz tajny klienta.
  4. W polu Opis wprowadź opis wpisu tajnego klienta (na przykład wpis tajny klienta aplikacji ciam).
  5. W obszarze Wygasa wybierz czas trwania, dla którego wpis tajny jest prawidłowy (zgodnie z regułami zabezpieczeń organizacji), a następnie wybierz pozycję Dodaj.
  6. Zarejestruj wartość wpisu tajnego. Ta wartość zostanie użyta do konfiguracji w późniejszym kroku.

Uwaga

Wartość wpisu tajnego nie będzie ponownie wyświetlana i nie jest pobierana w żaden sposób, po przejściu z dala od strony Certyfikaty i wpisy tajne , dlatego upewnij się, że je rejestrujesz.
W przypadku zwiększonych zabezpieczeń rozważ użycie certyfikatów zamiast wpisów tajnych klienta.

Udzielanie uprawnień interfejsu API do aplikacji demona

  1. Na stronie Rejestracje aplikacji wybierz utworzoną aplikację, taką jak ciam-client-app.

  2. W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.

  3. W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.

  4. Wybierz kartę Moje interfejsy API .

  5. Na liście interfejsów API wybierz interfejs API, taki jak ciam-ToDoList-api.

  6. Wybierz opcję Uprawnienia aplikacji . Wybieramy tę opcję, gdy aplikacja loguje się jako sama, a nie użytkownicy.

  7. Z listy uprawnień wybierz pozycję TodoList.Read.All, ToDoList.ReadWrite.All (w razie potrzeby użyj pola wyszukiwania).

  8. Wybierz przycisk Dodaj uprawnienia .

  9. W tym momencie uprawnienia zostały przypisane poprawnie. Jednak ponieważ aplikacja demona nie zezwala użytkownikom na interakcję z nią, sami użytkownicy nie mogą wyrazić zgody na te uprawnienia. Aby rozwiązać ten problem, administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:

    1. Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
    2. Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu uprawnień jest wyświetlana wartość Udzielono dla <nazwy> dzierżawy.

Zbieranie szczegółów rejestracji aplikacji

W następnym kroku przygotujesz aplikację demona. Upewnij się, że masz następujące szczegóły:

  • Identyfikator aplikacji (klienta) zarejestrowanej aplikacji demona klienta.
  • Domena podrzędna Katalogu (dzierżawy), w której zarejestrowano aplikację demona. Jeśli nie masz nazwy dzierżawy, dowiedz się, jak odczytywać szczegóły dzierżawy.
  • Wartość wpisu tajnego aplikacji dla utworzonej aplikacji demona.
  • Identyfikator aplikacji (klienta) zarejestrowanej aplikacji internetowego interfejsu API.

Następne kroki

W następnym samouczku przygotujesz demona Node.js aplikację.

Przygotowywanie aplikacji demona