Szybki start: wywoływanie internetowego interfejsu API chronionego przez platformę tożsamości firmy Microsoft

Artykuł
2025-04-30

Dotyczy: Zielony okrąg z białym symbolem znacznika wyboru. Pracownicy dzierżawcy Dzierżawy zewnętrzne (dowiedz się więcej)

W tym krótkim przewodniku użyjesz przykładowej aplikacji internetowej, aby pokazać, jak chronić internetowy interfejs API ASP.NET przy użyciu platformy tożsamości Microsoftu. W przykładzie użyto biblioteki Microsoft Authentication Library (MSAL) do obsługi uwierzytelniania i autoryzacji.

Wymagania wstępne

Konto platformy Azure z aktywną subskrypcją. Utwórz bezpłatne konto.
Zarejestruj nową aplikację w centrum administracyjnym firmy Microsoft Entra i zarejestruj swoje identyfikatory na stronie Przegląd aplikacji. Aby uzyskać więcej informacji, zobacz Rejestrowanie aplikacji.
- Nazwa: NewWebAPI1
- Obsługiwane typy kont: Konta tylko w tym katalogu organizacyjnym (jednodostępny)

ASP.NET
ASP.NET Core

Visual Studio 2022. Pobierz program Visual Studio bezpłatnie.

Ujawnij API

Po zarejestrowaniu interfejsu API można skonfigurować jego uprawnienia, definiując zakresy, które interfejs API uwidacznia aplikacjom klienckim. Aplikacje klienckie żądają uprawnień do wykonywania operacji, przekazując token dostępu wraz z żądaniami do chronionego internetowego interfejsu API. Internetowy interfejs API wykonuje żądaną operację tylko wtedy, gdy otrzymany token dostępu zawiera wymagane zakresy.

ASP.NET
ASP.NET Core

W obszarze Zarządzanie wybierz pozycję Uwidaczniaj interfejs API>Dodaj zakres. Zaakceptuj proponowany URI identyfikatora aplikacji (api://{clientId}), wybierając Zapisz i kontynuuj, a następnie wprowadź następujące informacje:
1. W polu Nazwa zakresu wprowadź wartość access_as_user.
2. W obszarze Kto może wyrazić zgodę, upewnij się, że wybrano opcję Administratorzy i użytkownicy .
3. W polu Nazwa wyświetlana zgody administratora wprowadź Access TodoListService as a user.
4. W polu Opis zgody administratora wprowadź Accesses the TodoListService web API as a user.
5. W polu Nazwa wyświetlana zgody użytkownika wprowadź Access TodoListService as a user.
6. W polu Opis zgody użytkownika wprowadź wartość Accesses the TodoListService web API as a user.
7. W obszarze Stan zachowaj wartość Włączone.
Wybierz Dodaj zakres.

Dodawanie delegowanych uprawnień (zakresów)

Interfejs API musi opublikować co najmniej jeden zakres, nazywany również uprawnieniami delegowanymi , aby aplikacje klienckie pomyślnie uzyskały token dostępu dla użytkownika. Aby opublikować zakres, wykonaj następujące kroki:

Na stronie Rejestracje aplikacji wybierz utworzoną aplikację interfejsu API (ciam-ToDoList-api), aby otworzyć stronę Przegląd .
W obszarze Zarządzanie wybierz pozycję Uwidaczniaj interfejs API.
W górnej części strony obok pozycji Identyfikator URI aplikacji wybierz link Dodaj, aby wygenerować URI unikatowy dla tej aplikacji.
Zaakceptuj proponowany URI identyfikatora aplikacji, taki jak api://{clientId}, i wybierz Zapisz. Gdy aplikacja internetowa żąda tokenu dostępu dla API, dodaje URI jako prefiks dla każdego zakresu zdefiniowanego dla API.
W obszarze Zakresy zdefiniowane przez ten interfejs API wybierz pozycję Dodaj zakres.

Wprowadź następujące wartości, które definiują dostęp do odczytu do interfejsu API, a następnie wybierz pozycję Dodaj zakres , aby zapisać zmiany:

Nieruchomość / Majątek	Wartość
Nazwa zakresu	ToDoList.Read
Kto może wyrazić zgodę	Tylko dla administratorów
Wyświetlana nazwa zgody administratora	Odczytywanie listy zadań do wykonania użytkowników przy użyciu listy "TodoListApi"
Opis zgody administratora	Zezwól aplikacji na odczytywanie listy zadań do wykonania użytkownika przy użyciu listy "TodoListApi".
Państwo	Włączone

Ponownie wybierz pozycję Dodaj zakres i wprowadź następujące wartości, które definiują zakres dostępu do odczytu i zapisu w interfejsie API. Wybierz pozycję Dodaj zakres , aby zapisać zmiany:

Nieruchomość / Majątek	Wartość
Nazwa zakresu	ToDoList.ReadWrite
Kto może wyrazić zgodę	Tylko dla administratorów
Wyświetlana nazwa zgody administratora	Odczytywanie i zapisywanie listy zadań do wykonania użytkowników przy użyciu listy "ToDoListApi"
Opis zgody administratora	Zezwalaj aplikacji na odczytywanie i zapisywanie listy zadań do wykonania użytkownika przy użyciu listy "ToDoListApi"
Państwo	Włączone

Dowiedz się więcej o zasadzie najniższych uprawnień podczas publikowania uprawnień dla internetowego interfejsu API.

Dodawanie uprawnień aplikacji (role aplikacji)

Interfejs API musi opublikować co najmniej jedną rolę aplikacji, znaną również jako uprawnienia aplikacji , aby aplikacje klienckie mogły uzyskiwać token dostępu w swoim imieniu. Uprawnienia aplikacji to typ uprawnień, które interfejsy API powinny definiować, gdy chcą umożliwić aplikacjom klienckim pomyślne uwierzytelnienie się samodzielnie, bez konieczności logowania użytkowników. Aby opublikować zezwolenie aplikacji, wykonaj następujące kroki:

Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-ToDoList-api), aby otworzyć stronę Przegląd .
W obszarze Zarządzanie wybierz pozycję Role aplikacji.

Wybierz pozycję Utwórz rolę aplikacji, a następnie wprowadź następujące wartości, a następnie wybierz pozycję Zastosuj , aby zapisać zmiany:

Nieruchomość / Majątek	Wartość
nazwa wyświetlana	ToDoList.Read.All
Dozwolone typy członków	Aplikacji
Wartość	ToDoList.Read.All
Opis	Zezwalaj aplikacji na odczytywanie listy zadań do wykonania każdego użytkownika przy użyciu listy "TodoListApi"
Czy chcesz aktywować rolę tej aplikacji?	Zachowaj to zaznaczone

Ponownie wybierz pozycję Utwórz rolę aplikacji , a następnie wprowadź następujące wartości dla drugiej roli aplikacji, a następnie wybierz pozycję Zastosuj , aby zapisać zmiany:

Nieruchomość / Majątek	Wartość
nazwa wyświetlana	ToDoList.ReadWrite.All
Dozwolone typy członków	Aplikacji
Wartość	ToDoList.ReadWrite.All
Opis	Zezwalaj aplikacji na odczytywanie i zapisywanie listy zadań do wykonania każdego użytkownika przy użyciu listy "ToDoListApi"
Czy chcesz aktywować rolę tej aplikacji?	Zachowaj to zaznaczone

Klonowanie lub pobieranie przykładowej aplikacji

Aby uzyskać przykładową aplikację, możesz ją sklonować z usługi GitHub lub pobrać jako plik .zip .

ASP.NET
ASP.NET Core

git clone https://github.com/AzureADQuickStarts/AppModelv2-NativeClient-DotNet.git

Pobierz go jako plik ZIP.

Wskazówka

Aby uniknąć błędów spowodowanych ograniczeniami długości ścieżki w systemie Windows, zalecamy wyodrębnienie archiwum lub sklonowanie repozytorium do katalogu w pobliżu katalogu głównego dysku.

git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git

Pobierz plik .zip. Wyodrębnij go do ścieżki pliku, w której długość nazwy jest mniejsza niż 260 znaków.

Konfigurowanie przykładowej aplikacji

Skonfiguruj przykładowy kod, aby był zgodny z zarejestrowanym internetowym interfejsem API.

ASP.NET
ASP.NET Core

Otwórz rozwiązanie w programie Visual Studio, a następnie otwórz plik appsettings.json w katalogu głównym projektu TodoListService.
Zastąp wartość Enter_the_Application_Id_here identyfikatorem klienta (identyfikator aplikacji) zarejestrowanej przez aplikację w portalu Rejestracje aplikacji, zarówno we właściwościach ClientID, jak i Audience.

Dodawanie nowego zakresu do pliku app.config

Aby dodać nowy zakres do pliku app.config TodoListClient, wykonaj następujące kroki:

W folderze głównym projektu TodoListClient otwórz plik app.config .
Wklej identyfikator aplikacji z aplikacji zarejestrowanej dla projektu TodoListService w parametrze TodoListServiceScope, zastępując ciąg {Enter the Application ID of your TodoListService from the app registration portal}.

Uwaga

Upewnij się, że identyfikator aplikacji używa następującego formatu: api://{TodoListService-Application-ID}/access_as_user (gdzie {TodoListService-Application-ID} jest identyfikatorem GUID reprezentującym identyfikator aplikacji dla aplikacji TodoListService).

Rejestrowanie aplikacji internetowej (TodoListClient)

Zarejestruj aplikację TodoListClient w obszarze Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra, a następnie skonfiguruj kod w projekcie TodoListClient. Jeśli klient i serwer są uważane za tę samą aplikację, możesz ponownie użyć aplikacji zarejestrowanej w kroku 2. Użyj tej samej aplikacji, jeśli chcesz, aby użytkownicy logować się przy użyciu osobistego konta Microsoft.

Rejestrowanie aplikacji

Aby zarejestrować aplikację TodoListClient, wykonaj następujące kroki:

Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do pozycjiRejestracje aplikacjiEntra ID> i wybierz pozycję Nowa rejestracja.
Wybierz pozycję Nowa rejestracja.
Po otwarciu strony Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji:
1. W sekcji Nazwa wprowadź zrozumiałą nazwę aplikacji, która będzie wyświetlana użytkownikom aplikacji (na przykład NativeClient-DotNet-TodoListClient).
2. W obszarze Obsługiwane typy kont wybierz pozycję Konta w dowolnym katalogu organizacyjnym.
3. Wybierz pozycję Zarejestruj , aby utworzyć aplikację.
Uwaga

W pliku app.config projektu TodoListClient wartość domyślna ida:Tenant to common. Możliwe wartości to:
- common: Możesz zalogować się przy użyciu konta służbowego lub osobistego konta Microsoft (ponieważ w poprzednim kroku wybrano pozycję Konta w dowolnym katalogu organizacyjnym ).
- organizations: Możesz zalogować się przy użyciu konta służbowego lub szkolnego.
- consumers: Możesz zalogować się tylko przy użyciu konta osobistego Microsoft.
Na stronie Przegląd aplikacji wybierz pozycję Uwierzytelnianie, a następnie wykonaj następujące kroki, aby dodać platformę:
1. W obszarze Konfiguracje platformy wybierz przycisk Dodaj platformę .
2. W obszarze Aplikacje mobilne i klasyczne wybierz pozycję Aplikacje mobilne i klasyczne.
3. Zaznacz pole wyboru https://login.microsoftonline.com/common/oauth2/nativeclient dla Identyfikatory URI przekierowania.
4. Wybierz pozycję Konfiguruj.
Wybierz Uprawnienia interfejsu API, a następnie postępuj zgodnie z poniższymi krokami, aby dodać uprawnienia:
1. Wybierz przycisk Dodaj uprawnienie .
2. Wybierz kartę Moje interfejsy API .
3. Na liście interfejsów API wybierz pozycję AppModelv2-NativeClient-DotNet-TodoListService API lub nazwę wprowadzoną dla internetowego interfejsu API.
4. Zaznacz pole wyboru uprawnienia access_as_user, jeśli nie jest jeszcze zaznaczone. W razie potrzeby użyj pola Wyszukiwania.
5. Wybierz przycisk Dodaj uprawnienia .

Konfigurowanie projektu

Skonfiguruj projekt TodoListClient, dodając identyfikator aplikacji do pliku app.config .

W portalu Rejestracje aplikacji na stronie Przegląd skopiuj wartość identyfikatora aplikacji (klienta).
W folderze głównym projektu TodoListClient otwórz plik app.config , a następnie wklej wartość Identyfikator aplikacji w parametrze ida:ClientId .

W środowisku IDE otwórz folder projektu ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListAPI zawierający przykład.
Otwórz plik appsettings.json zawierający następujący fragment kodu:
```
{
  "AzureAd": {
    "Instance": "Enter_the_Authority_URL_Here", //For external tenants, use instance in the form of "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/"
    "TenantId": "Enter_the_Tenant_Id_Here",
    "ClientId": "Enter_the_Application_Id_Here",
    "Scopes": {
      "Read": ["ToDoList.Read", "ToDoList.ReadWrite"],
      "Write": ["ToDoList.ReadWrite"]
    },
    "AppPermissions": {
      "Read": ["ToDoList.Read.All", "ToDoList.ReadWrite.All"],
      "Write": ["ToDoList.ReadWrite.All"]
    }
  },
  "Logging": {...},
  "AllowedHosts": "*"
}
```
Znajdź następujące wartości:
- ClientId — identyfikator aplikacji, nazywany również klientem. Zastąp value tekst w cudzysłowach identyfikatorem aplikacji (klienta), który został zarejestrowany wcześniej na stronie Przegląd zarejestrowanej aplikacji.
- TenantId — identyfikator dzierżawcy, gdzie aplikacja została zarejestrowana. Zastąp tekst value wartością identyfikatora katalogu (dzierżawy), który został zapisany wcześniej na stronie Przegląd zarejestrowanej aplikacji.
- Instance — Określa katalog, z którego biblioteka Microsoft Authentication Library (MSAL) może żądać tokenów. Zastąp Enter_the_Authority_URL_Here jedną z następujących wartości w zależności od scenariusza:
  - W przypadku dzierżawców pracowników użyj https://login.microsoftonline.com/ jako wystąpienia.
  - W przypadku najemców zewnętrznych dodaj adres URL autorytetu w postaci https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/

Uruchom oba projekty. Dla użytkowników programu Visual Studio;

Kliknij prawym przyciskiem myszy na rozwiązaniu Visual Studio i wybierz Właściwości
W obszarze Wspólne właściwości wybierz pozycję Projekt startowy , a następnie pozycję Wiele projektów startowych.
W przypadku obu projektów wybierz pozycję Rozpocznij jako akcję
Upewnij się, że usługa TodoListService jest uruchamiana jako pierwsza, przenosząc ją na pierwszą pozycję na liście przy użyciu strzałki w górę.

Zaloguj się, aby uruchomić projekt TodoListClient.

Naciśnij F5, aby uruchomić projekty. Zostanie otwarta strona usługi, a także aplikacja komputerowa.
W aplikacji TodoListClient w prawym górnym rogu wybierz pozycję Zaloguj, a następnie zaloguj się przy użyciu tych samych poświadczeń, które były używane do zarejestrowania aplikacji lub zaloguj się jako użytkownik w tym samym katalogu.

Jeśli logujesz się po raz pierwszy, może zostać wyświetlony monit o wyrażenie zgody na internetowy interfejs API todoListService.

Aby ułatwić dostęp do internetowego interfejsu API usługi TodoListService i manipulować listą Zadań do wykonania , logowanie również żąda tokenu dostępu do zakresu access_as_user .

Dokonaj wstępnej autoryzacji aplikacji klienckiej

Możesz zezwolić użytkownikom z innych katalogów na dostęp do web API przez wstępne autoryzowanie aplikacji klienckiej do dostępu do web API. W tym celu należy dodać identyfikator aplikacji z aplikacji klienckiej do listy wstępnie uwierzytelnionych aplikacji dla internetowego interfejsu API. Dodając wstępnie uwierzytelnionego klienta, zezwalasz użytkownikom na dostęp do internetowego interfejsu API bez konieczności udzielania zgody.

W portalu Rejestracje aplikacji otwórz właściwości aplikacji TodoListService.
W sekcji Uwidacznij interfejs API w obszarze Autoryzowane aplikacje klienckie wybierz pozycję Dodaj aplikację kliencką.
W polu Identyfikator klienta wklej identyfikator aplikacji TodoListClient.
W sekcji Autoryzowane zakresy wybierz zakres internetowego interfejsu api://<Application ID>/access_as_user API.
Wybierz pozycję Dodaj aplikację.

Uruchamianie projektu

Naciśnij F5 , aby uruchomić projekt. Twoja aplikacja TodoListClient otwiera się.
W prawym górnym rogu wybierz pozycję Zaloguj, a następnie zaloguj się przy użyciu osobistego konta Microsoft, takiego jak konto live.com lub hotmail.com albo konto służbowe.

Domyślnie wszystkie konta osobiste, takie jak outlook.com lub live.com, a także konta służbowe lub szkolne z organizacji zintegrowanych z Microsoft Entra ID, mogą żądać tokenów i uzyskiwać dostęp do interfejsu API sieci.

Aby określić, kto może zalogować się do aplikacji, poprzez zmianę właściwości TenantId w pliku appsettings.json.

Uruchom następujące polecenie z katalogu głównego swojego projektu web API, aby uruchomić aplikację.
```
dotnet run
```

Jeśli wszystko działa prawidłowo, w terminalu zostaną wyświetlone dane wyjściowe podobne do następujących:

 Building...
     info: Microsoft.Hosting.Lifetime[14]
           Now listening on: https://localhost:{port}
     info: Microsoft.Hosting.Lifetime[0]
           Application started. Press Ctrl+C to shut down.
     info: Microsoft.Hosting.Lifetime[0]
           Hosting environment: Development
...

Zarejestruj numer portu w adresie URL https://localhost:{port}.

Aby sprawdzić, czy punkt końcowy jest chroniony, zaktualizuj podstawowy adres URL w następującym poleceniu cURL, aby dopasować go do otrzymanego w poprzednim kroku, a następnie uruchom polecenie:
```
curl -k -X GET https://localhost:<your-api-port>/api/todolist -w "%{http_code}\n"
```
Oczekiwana odpowiedź to 401 Brak autoryzacji.

Następne kroki

Dowiedz się, jak chronić internetowy interfejs API ASP.NET Core za pomocą platformy tożsamości firmy Microsoft.

Samouczek: tworzenie i zabezpieczanie internetowego interfejsu API ASP.NET Core za pomocą platformy tożsamości firmy Microsoft

Udostępnij za pośrednictwem