Udostępnij za pośrednictwem


Konfigurowanie menedżera poświadczeń — interfejs API programu Microsoft Graph

DOTYCZY: Wszystkie warstwy usługi API Management

Ten artykuł przeprowadzi Cię przez kroki wymagane do utworzenia zarządzanego połączenia z interfejsem API programu Microsoft Graph w usłudze Azure API Management. Typ udzielania kodu autoryzacji jest używany w tym przykładzie.

Dowiedz się, jak odbywa się:

  • Tworzenie aplikacji Firmy Microsoft Entra
  • Tworzenie i konfigurowanie dostawcy poświadczeń w usłudze API Management
  • Konfigurowanie połączenia
  • Tworzenie interfejsu API programu Microsoft Graph w usłudze API Management i konfigurowanie zasad
  • Testowanie interfejsu API programu Microsoft Graph w usłudze API Management

Wymagania wstępne

  • Dostęp do dzierżawy firmy Microsoft Entra, w której masz uprawnienia do tworzenia rejestracji aplikacji i udzielania zgody administratora na uprawnienia aplikacji. Dowiedz się więcej

    Jeśli chcesz utworzyć własną dzierżawę deweloperów, możesz zarejestrować się w programie deweloperów platformy Microsoft 365.

  • Uruchomione wystąpienie usługi API Management. Jeśli chcesz, utwórz wystąpienie usługi Azure API Management.

  • Włącz tożsamość zarządzaną przypisaną przez system dla usługi API Management w wystąpieniu usługi API Management.

Krok 1. Tworzenie aplikacji Firmy Microsoft Entra

Utwórz aplikację Microsoft Entra dla interfejsu API i nadaj jej odpowiednie uprawnienia dla żądań, które chcesz wywołać.

  1. Zaloguj się do witryny Azure Portal przy użyciu konta z wystarczającymi uprawnieniami w dzierżawie.

  2. W obszarze Usługi platformy Azure wyszukaj ciąg Microsoft Entra ID.

  3. W menu po lewej stronie wybierz pozycję Rejestracje aplikacji, a następnie wybierz pozycję + Nowa rejestracja.

  4. Na stronie Rejestrowanie aplikacji wprowadź ustawienia rejestracji aplikacji:

    1. W polu Nazwa wprowadź zrozumiałą nazwę, która będzie wyświetlana użytkownikom aplikacji, na przykład MicrosoftGraphAuth.

    2. W obszarze Obsługiwane typy kont wybierz opcję, która odpowiada Twojemu scenariuszowi, na przykład Konta w tym katalogu organizacyjnym (tylko jedna dzierżawa).

    3. Ustaw identyfikator URI przekierowania na Sieć Web, a następnie wprowadź https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>ciąg , zastępując nazwę usługi API Management, w której skonfigurujesz dostawcę poświadczeń.

    4. Wybierz pozycję Zarejestruj.

      Zrzut ekranu przedstawiający tworzenie rejestracji aplikacji Microsoft Entra w portalu.

  5. W menu po lewej stronie wybierz pozycję Uprawnienia interfejsu API, a następnie wybierz pozycję + Dodaj uprawnienie. Zrzut ekranu przedstawiający dodawanie uprawnienia interfejsu API w portalu.

    1. Wybierz pozycję Microsoft Graph, a następnie wybierz pozycję Delegowane uprawnienia.

      Uwaga

      Upewnij się, że uprawnienie User.Read z typem Delegowane zostało już dodane.

    2. Wpisz Team, rozwiń opcje Zespół , a następnie wybierz pozycję Team.ReadBasic.All. Wybierz Przyznaj uprawnienia.
    3. Następnie wybierz pozycję Udziel zgody administratora dla katalogu domyślnego. Stan uprawnień zmienia się na Udzielono dla katalogu domyślnego.
  6. W menu po lewej stronie wybierz pozycję Przegląd. Na stronie Przegląd znajdź wartość Identyfikator aplikacji (klienta) i zapisz ją do użycia w kroku 2.

  7. W menu po lewej stronie wybierz pozycję Certyfikaty i wpisy tajne, a następnie wybierz pozycję + Nowy klucz tajny klienta.
    Zrzut ekranu przedstawiający tworzenie wpisu tajnego aplikacji w portalu.

    1. Wprowadź opis.
    2. Wybierz opcję Wygasa.
    3. Wybierz Dodaj.
    4. Skopiuj wartość wpisu tajnego klienta przed opuszczeniem strony. Będzie ona potrzebna w kroku 2.

Krok 2. Konfigurowanie dostawcy poświadczeń w usłudze API Management

  1. Zaloguj się do portalu i przejdź do wystąpienia usługi API Management.

  2. W menu po lewej stronie wybierz pozycję Menedżer poświadczeń, a następnie wybierz pozycję + Utwórz.
    Zrzut ekranu przedstawiający tworzenie poświadczeń interfejsu API w portalu.

  3. Na stronie Tworzenie dostawcy poświadczeń wprowadź następujące ustawienia, a następnie wybierz pozycję Utwórz:

    Ustawienia Wartość
    Nazwa dostawcy poświadczeń Wybrana nazwa, na przykład MicrosoftEntraID-01
    Dostawca tożsamości Wybieranie usługi Azure Active Directory w wersji 1
    Typ udzielenia Wybieranie kodu autoryzacji
    Adres URL autoryzacji Opcjonalnie dla dostawcy tożsamości Firmy Microsoft Entra. Wartość domyślna to https://login.microsoftonline.com.
    Client ID Wklej skopiowaną wcześniej wartość z rejestracji aplikacji
    Klucz tajny klienta Wklej skopiowaną wcześniej wartość z rejestracji aplikacji
    Adres URL zasobu https://graph.microsoft.com
    Identyfikator dzierżawy Opcjonalnie dla dostawcy tożsamości Firmy Microsoft Entra. Wartość domyślna to Typowe.
    Zakresy Opcjonalnie dla dostawcy tożsamości Firmy Microsoft Entra. Automatycznie konfigurowane na podstawie uprawnień interfejsu API aplikacji Entra firmy Microsoft.

Krok 3. Konfigurowanie połączenia

Na karcie Połączenie ion wykonaj kroki połączenia z dostawcą.

Uwaga

Podczas konfigurowania połączenia usługa API Management domyślnie konfiguruje zasady dostępu, które umożliwiają dostęp przez tożsamość zarządzaną przypisaną przez systemy wystąpienia. Ten dostęp jest wystarczający dla tego przykładu. W razie potrzeby można dodać dodatkowe zasady dostępu.

  1. Wprowadź nazwę Połączenie ion, a następnie wybierz pozycję Zapisz.
  2. W obszarze Krok 2. Zaloguj się do połączenia (w celu udzielenia kodu autoryzacji) wybierz link, aby zalogować się do dostawcy poświadczeń. Wykonaj kroki, aby autoryzować dostęp i wrócić do usługi API Management.
  3. W obszarze Krok 3. Określ, kto będzie miał dostęp do tego połączenia (zasady dostępu), zostanie wyświetlony element członkowski tożsamości zarządzanej. Dodawanie innych członków jest opcjonalne w zależności od scenariusza.
  4. Wybierz pozycję Ukończono.

Nowe połączenie zostanie wyświetlone na liście połączeń i zostanie wyświetlony stan Połączenie. Jeśli chcesz utworzyć inne połączenie dla dostawcy poświadczeń, wykonaj powyższe kroki.

Napiwek

Użyj portalu, aby w dowolnym momencie dodawać, aktualizować lub usuwać połączenia z dostawcą poświadczeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie wielu połączeń.

Uwaga

Jeśli po tym kroku zaktualizujesz uprawnienia programu Microsoft Graph, musisz powtórzyć kroki 2 i 3.

Krok 4. Tworzenie interfejsu API programu Microsoft Graph w usłudze API Management i konfigurowanie zasad

  1. Zaloguj się do portalu i przejdź do wystąpienia usługi API Management.

  2. W menu po lewej stronie wybierz pozycję Interfejsy > API + Dodaj interfejs API.

  3. Wybierz pozycję HTTP i wprowadź następujące ustawienia. Następnie wybierz Utwórz.

    Ustawienie Wartość
    Nazwa wyświetlana msgraph
    Adres URL usługi sieci Web https://graph.microsoft.com/v1.0
    Sufiks adresu URL interfejsu API msgraph
  4. Przejdź do nowo utworzonego interfejsu API i wybierz pozycję Dodaj operację. Wprowadź następujące ustawienia i wybierz pozycję Zapisz.

    Ustawienie Wartość
    Nazwa wyświetlana Getprofile
    Adres URL get /Me
  5. Wykonaj powyższe kroki, aby dodać kolejną operację z następującymi ustawieniami.

    Ustawienie Wartość
    Nazwa wyświetlana getJoinedTeams
    Adres URL get /me/joinedTeams
  6. Wybierz opcję Wszystkie operacje. W sekcji Przetwarzanie przychodzące wybierz ikonę (</>) (edytor kodu).

  7. Skopiuj i wklej poniższy fragment kodu. get-authorization-context Zaktualizuj zasady przy użyciu nazw dostawcy poświadczeń i połączenia skonfigurowanego w poprzednich krokach, a następnie wybierz pozycję Zapisz.

    • Zastąp nazwę dostawcy poświadczeń wartością provider-id
    • Zastąp nazwę połączenia wartością authorization-id
    <policies>
        <inbound>
            <base />
            <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
           <set-header name="Authorization" exists-action="override">
               <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
           </set-header>
        </inbound>
        <backend>
            <base />
        </backend>
        <outbound>
            <base />
        </outbound>
        <on-error>
            <base />
        </on-error>
    </policies>
    

Poprzednia definicja zasad składa się z dwóch części:

Krok 5. Testowanie interfejsu API

  1. Na karcie Test wybierz jedną skonfigurowaną operację.

  2. Wybierz Wyślij.

    Zrzut ekranu przedstawiający testowanie interfejsu API programu Graph w portalu.

    Pomyślna odpowiedź zwraca dane użytkownika z programu Microsoft Graph.

  • Dowiedz się więcej o zasadach uwierzytelniania i autoryzacji w usłudze Azure API Management.
  • Dowiedz się więcej o zakresach i uprawnieniach w identyfikatorze Entra firmy Microsoft.