Szybki start: konfigurowanie aplikacji klienckiej w celu uzyskania dostępu do internetowego interfejsu API
W tym przewodniku Szybki start udostępnisz aplikacji klienckiej zarejestrowanej za pomocą platformy tożsamości Microsoft oparty na uprawnieniach dostęp o określonym zakresie do Twojego internetowego interfejsu API. Zapewnisz również aplikacji klienckiej dostęp do usługi Microsoft Graph.
Określając zakresy internetowego interfejsu API w rejestracji aplikacji klienckiej, aplikacja kliencka może uzyskać token dostępu zawierający te zakresy z Platforma tożsamości Microsoft. W kodzie internetowy interfejs API może następnie zapewnić dostęp oparty na uprawnieniach do swoich zasobów na podstawie zakresów znalezionych w tokenie dostępu.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
- Ukończenie przewodnika Szybki start: rejestrowanie aplikacji
- Ukończenie przewodnika Szybki start: konfigurowanie aplikacji w celu uwidocznienia internetowego interfejsu API
Dodawanie uprawnień dostępu do internetowego interfejsu API
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Dostęp do interfejsów API wymaga konfiguracji zakresów dostępu i ról. Jeśli chcesz uwidocznić internetowe interfejsy API aplikacji zasobów dla aplikacji klienckich, możesz skonfigurować zakresy dostępu i role dla interfejsu API. Jeśli chcesz, aby aplikacja kliencka mogła uzyskać dostęp do internetowego interfejsu API, skonfiguruj uprawnienia dostępu do interfejsu API w rejestracji aplikacji.
Aby przyznać aplikacji klienckiej dostęp do własnego internetowego interfejsu API, musisz mieć dwie rejestracje aplikacji;
- Rejestracja aplikacji klienckiej
- Rejestracja internetowego interfejsu API z uwidocznionych zakresów
Na diagramie pokazano, jak te dwie rejestracje aplikacji odnoszą się do siebie, gdzie aplikacja kliencka ma różne typy uprawnień, a internetowy interfejs API ma różne zakresy, do których aplikacja kliencka ma dostęp. W tej sekcji dodasz uprawnienia do rejestracji aplikacji klienckiej.
Po zarejestrowaniu aplikacji klienckiej i internetowego interfejsu API i uwidocznieniu interfejsu API przez utworzenie zakresów można skonfigurować uprawnienia klienta do interfejsu API, wykonując następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zawierającej rejestrację aplikacji z menu Katalogi i subskrypcje.
Przejdź do pozycji Aplikacje tożsamości>> Rejestracje aplikacji, a następnie wybierz aplikację kliencą (a nie internetowy interfejs API).
Wybierz pozycję Uprawnienia interfejsu API, a następnie dodaj uprawnienie i wybierz pozycję Moje interfejsy API na pasku bocznym.
Wybierz internetowy interfejs API zarejestrowany w ramach wymagań wstępnych, a następnie wybierz pozycję Uprawnienia delegowane.
Uprawnienia delegowane są odpowiednie dla aplikacji klienckich, które uzyskują dostęp do internetowego interfejsu API jako zalogowanego użytkownika i których dostęp powinien być ograniczony do uprawnień wybranych w następnym kroku. Pozostaw uprawnienia delegowane wybrane dla tego przykładu.
Uprawnienia aplikacji są przeznaczone dla aplikacji typu usługa lub demona, które muszą uzyskiwać dostęp do internetowego interfejsu API jako siebie bez interakcji z użytkownikiem w celu logowania się lub zgody. Jeśli nie zdefiniowano ról aplikacji dla internetowego interfejsu API, ta opcja jest wyłączona.
W obszarze Wybierz uprawnienia rozwiń zasób, którego zakresy zdefiniowano dla internetowego interfejsu API, a następnie wybierz uprawnienia, które aplikacja kliencka powinna mieć w imieniu zalogowanego użytkownika.
- Jeśli użyto przykładowych nazw zakresów określonych w poprzednim przewodniku Szybki start, powinny zostać wyświetlone pozycje Employees.Read.All i
Employees.Write.All
.
- Jeśli użyto przykładowych nazw zakresów określonych w poprzednim przewodniku Szybki start, powinny zostać wyświetlone pozycje Employees.Read.All i
Wybierz uprawnienie utworzone podczas wykonywania wymagań wstępnych, na przykład
Employees.Read.All
.Wybierz pozycję Dodaj uprawnienia , aby ukończyć proces.
Po dodaniu uprawnień do interfejsu API powinny zostać wyświetlone wybrane uprawnienia w obszarze Skonfigurowane uprawnienia. Na poniższej ilustracji przedstawiono przykładowe uprawnienie delegowane Employees.Read.All dodane do rejestracji aplikacji klienckiej.
Możesz również zauważyć uprawnienie User.Read dla interfejsu API programu Microsoft Graph. To uprawnienie jest dodawane automatycznie podczas rejestrowania aplikacji w witrynie Azure Portal.
Dodawanie uprawnień dostępu do programu Microsoft Graph
Oprócz uzyskiwania dostępu do własnego internetowego interfejsu API w imieniu zalogowanego użytkownika aplikacja może również wymagać dostępu do lub zmodyfikowania danych użytkownika (lub innych) przechowywanych w programie Microsoft Graph. Możesz też mieć aplikację usługi lub demona, która musi mieć dostęp do programu Microsoft Graph jako samego siebie, wykonując operacje bez żadnej interakcji z użytkownikiem.
Delegowane uprawnienie do programu Microsoft Graph
Skonfiguruj delegowane uprawnienia do programu Microsoft Graph, aby umożliwić aplikacji klienckiej wykonywanie operacji w imieniu zalogowanego użytkownika, na przykład odczytywanie wiadomości e-mail lub modyfikowanie profilu. Domyślnie użytkownicy aplikacji klienckiej są proszeni o zalogowanie się w celu wyrażenia zgody na uprawnienia delegowane skonfigurowane dla tej aplikacji.
Na stronie Przegląd aplikacji klienckiej wybierz pozycję Uprawnienia>interfejsu API Dodaj uprawnienie>Microsoft Graph
Wybieranie delegowanych uprawnień. Program Microsoft Graph uwidacznia wiele uprawnień, a najczęściej używane w górnej części listy.
W obszarze Wybierz uprawnienia wybierz następujące uprawnienia:
Uprawnienie opis email
Wyświetlanie adresu e-mail użytkowników offline_access
Zapewnianie dostępu do danych, do których masz dostęp openid
Logowanie użytkowników profile
Wyświetlanie podstawowego profilu użytkowników Wybierz pozycję Dodaj uprawnienia , aby ukończyć proces.
Za każdym razem, gdy konfigurujesz uprawnienia, użytkownicy twojej aplikacji są proszeni o zalogowanie się, aby zezwolić aplikacji na dostęp do interfejsu API zasobów w ich imieniu.
Jako administrator możesz również udzielić zgody w imieniu wszystkich użytkowników, aby nie byli monitowani o to. Zgoda administratora została omówiona w dalszej części sekcji Więcej na temat uprawnień interfejsu API i zgody administratora tego artykułu.
Uprawnienie aplikacji do programu Microsoft Graph
Skonfiguruj uprawnienia aplikacji dla aplikacji, która musi uwierzytelniać się jako sama bez interakcji z użytkownikiem lub zgody. Uprawnienia aplikacji są zwykle używane przez usługi w tle lub aplikacje demona, które uzyskują dostęp do interfejsu API w sposób "bezgłowy", oraz przez internetowe interfejsy API, które uzyskują dostęp do innego (podrzędnego) interfejsu API.
W poniższych krokach przyznasz uprawnienie do uprawnienia Do plików.Read.All programu Microsoft Graph jako przykładu.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zawierającej rejestrację aplikacji z menu Katalogi i subskrypcje.
- Przejdź do pozycji Aplikacje tożsamości>> Rejestracje aplikacji, a następnie wybierz aplikację kliencą.
- Wybierz pozycję Uprawnienia>interfejsu API Dodaj uprawnienia>aplikacji programu Microsoft Graph.>
- Wszystkie uprawnienia uwidocznione przez program Microsoft Graph są wyświetlane w obszarze Wybierz uprawnienia.
- Wybierz uprawnienia lub uprawnienia, które chcesz przyznać aplikacji. Na przykład możesz mieć aplikację demona, która skanuje pliki w organizacji, ostrzegając o określonym typie pliku lub nazwie. W obszarze Wybierz uprawnienia rozwiń węzeł Pliki, a następnie wybierz
Files.Read.All
uprawnienie. - Wybierz Przyznaj uprawnienia.
- Niektóre uprawnienia, takie jak uprawnienia Files.Read.All programu Microsoft Graph, wymagają zgody administratora. Wyrażasz zgodę administratora, wybierając przycisk Udziel zgody administratora, omówiony w dalszej części sekcji Przycisk zgody administratora.
Konfigurowanie poświadczeń klienta
Aplikacje korzystające z uprawnień aplikacji uwierzytelniają się jako siebie przy użyciu własnych poświadczeń bez konieczności interakcji z użytkownikiem. Zanim aplikacja (lub interfejs API) będzie mogła uzyskiwać dostęp do programu Microsoft Graph, własnego internetowego interfejsu API lub innego interfejsu API przy użyciu uprawnień aplikacji, należy skonfigurować poświadczenia tej aplikacji klienckiej.
Aby uzyskać więcej informacji na temat konfigurowania poświadczeń aplikacji, zobacz sekcję Dodawanie poświadczeń w przewodniku Szybki start: rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft.
Więcej informacji na temat uprawnień interfejsu API i zgody administratora
Okienko uprawnień interfejsu API rejestracji aplikacji zawiera tabelę Skonfigurowane uprawnienia i przycisk Zgody administratora, które opisano w poniższych sekcjach.
Skonfigurowane uprawnienia
Tabela Skonfigurowane uprawnienia w okienku Uprawnienia interfejsu API zawiera listę uprawnień wymaganych przez aplikację dla podstawowej operacji — listy wymaganych dostępu do zasobów (RRA). Użytkownicy lub ich administratorzy będą musieli wyrazić zgodę na te uprawnienia przed rozpoczęciem korzystania z aplikacji. Inne, opcjonalne uprawnienia można zażądać później w czasie wykonywania (przy użyciu dynamicznej zgody).
Jest to minimalna lista uprawnień, które osoby będą musiały wyrazić zgodę na twoją aplikację. Może być więcej, ale zawsze będą one wymagane. Aby zapewnić bezpieczeństwo i ułatwić użytkownikom i administratorom korzystanie z aplikacji, nigdy nie pytaj o coś, czego nie potrzebujesz.
Możesz dodać lub usunąć uprawnienia wyświetlane w tej tabeli, wykonując kroki opisane powyżej. Jako administrator możesz udzielić zgody administratora dla pełnego zestawu uprawnień interfejsu API, które są wyświetlane w tabeli, i odwołać zgodę na poszczególne uprawnienia.
Przycisk Zgody administratora
Przycisk Udziel zgody administratora dla {dzierżawy} umożliwia administratorowi udzielenie zgody administratora na uprawnienia skonfigurowane dla aplikacji. Po wybraniu przycisku zostanie wyświetlone okno dialogowe z żądaniem potwierdzenia akcji zgody.
Po udzieleniu zgody uprawnienia wymagane przez administratora są wyświetlane jako udzielone zgody:
Przycisk Udziel zgody administratora jest wyłączony, jeśli nie jesteś administratorem lub nie skonfigurowano uprawnień dla aplikacji. Jeśli masz uprawnienia, które zostały udzielone, ale nie zostały jeszcze skonfigurowane, przycisk zgody administratora wyświetli monit o wykonanie obsługi tych uprawnień. Możesz dodać je do skonfigurowanych uprawnień lub usunąć.
Usuwanie uprawnień aplikacji
Ważne jest, aby nie udzielać aplikacji zbyt wielu uprawnień niż jest to konieczne. Aby odwołać zgodę administratora na uprawnienie w aplikacji;
- Przejdź do aplikacji i wybierz pozycję Uprawnienia interfejsu API.
- W obszarze Skonfigurowane uprawnienia wybierz trzy kropki obok uprawnienia, które chcesz usunąć, a następnie wybierz pozycję Usuń uprawnienie
- W wyświetlonym oknie podręcznym wybierz pozycję Tak, usuń , aby odwołać zgodę administratora dla uprawnienia.
Powiązana zawartość
Przejdź do następnego przewodnika Szybki start z serii, aby dowiedzieć się, jak skonfigurować typy kont, które mogą uzyskiwać dostęp do aplikacji. Możesz na przykład ograniczyć dostęp tylko do tych użytkowników w organizacji (z jedną dzierżawą) lub zezwolić użytkownikom w innych dzierżawach firmy Microsoft (wielodostępnych) i tych z osobistymi kontami Microsoft (MSA).