Adicionar um aplicativo de API Web ao locatário do Azure Active Directory B2C

Este artigo mostra como registrar os recursos da API Web no seu locatário do Azure AD B2C (Azure Active Directory B2C) antes de poder aceitar e responder a solicitações de recurso protegido de aplicativos clientes que apresentem um token de acesso.

Para registrar um aplicativo no locatário do Azure AD B2C, você pode usar a nova experiência unificada de Registros de aplicativo do portal do Azure ou a experiência herdada Aplicativos (Herdado). Saiba mais sobre a nova experiência.

Registros de aplicativo

1. Entre no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário do Azure Active Directory B2C no menu Diretórios + assinaturas.
3. No menu à esquerda, selecione Azure AD B2C. Ou selecione Todos os serviços e pesquise e selecione Azure AD B2C.
4. Escolha Registros de aplicativo e Novo registro.
5. Insira um Nome para o aplicativo. Por exemplo, webapi1.
6. Em URI de Redirecionamento, selecione Web e depois insira um ponto de extremidade em que o Azure AD B2C deve retornar os tokens solicitados pelo seu aplicativo. Em um aplicativo de produção, você pode definir o URI de redirecionamento como um ponto de extremidade https://localhost:5000. Para fins de teste, como este tutorial, você pode defini-lo como https://jwt.ms, um aplicativo da Web de propriedade da Microsoft que exibe o conteúdo decodificado de um token (o conteúdo do token nunca deixa o navegador). Adicione e modifique URIs de redirecionamento nos aplicativos registrados a qualquer momento.
7. Selecione Registrar.
8. Registre a ID do aplicativo (cliente) para uso no código da sua API Web.

Aplicativos (Herdado)

1. Entre no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário do Azure Active Directory B2C no menu Diretórios + assinaturas.
3. Escolha Todos os serviços no canto superior esquerdo do Portal do Azure, pesquise Azure AD B2C e selecione-o.
4. Selecione Aplicativos (Herdado) e, em seguida, selecione Adicionar.
5. Insira um nome para o aplicativo. Por exemplo, webapi1.
6. Para Incluir aplicativo da Web / API da Web e Permitir fluxo implícito, selecione Sim.
7. Para a URL de resposta, insira um ponto de extremidade em que o Azure AD B2C deve retornar os tokens solicitados pelo seu aplicativo. Em seu aplicativo de produção, você pode definir a URL de resposta para um valor como https://localhost:44332. Para fins de teste, defina a URL de resposta como https://jwt.ms.
8. Para o ID do aplicativo URI, insira o identificador usado para sua API da web. O URI do identificador completo, incluindo o domínio, é gerado para você. Por exemplo, https://contosotenant.onmicrosoft.com/api.
9. Selecione Criar.
10. Na página de propriedades, registre a ID do aplicativo que você usará ao configurar o aplicativo Web.

Configurar escopos

Os escopos fornecem uma maneira de controlar o acesso a recursos protegidos. Escopos são usados pela API Web para implementar o controle de acesso com base em escopo. Por exemplo, os usuários da API Web podem ter tanto acesso de leitura quanto de gravação ou somente acesso de leitura. Neste tutorial, você usa escopos para definir as permissões de leitura e gravação da API Web.

Registros de aplicativo

1. Selecione Registros do Aplicativo.
2. Selecione o aplicativo webapi1 para abrir a página de Visão Geral.
3. Em Gerenciar, selecione Expor uma API.
4. Ao lado de URI do ID do Aplicativo, selecione o link Adicionar.
5. Substitua o valor padrão (uma GUID) por api e selecione Salvar. O URI completo é mostrado e deve estar no formato https://your-tenant-name.onmicrosoft.com/api. Quando o aplicativo Web solicita um token de acesso à API, ele deve adicionar esse URI como prefixo para cada escopo que você definir para a API.
6. Em Escopos definidos por esta API, selecione Adicionar um escopo.
7. Insira os valores a seguir para criar um escopo que define o acesso de leitura à API e selecione Adicionar escopo:
   1. Nome do escopo: demo.read
   2. Nome de exibição de consentimento do administrador: Read access to demo API
   3. Descrição do consentimento do administrador:Allows read access to the demo API
8. Selecione Adicionar escopo, insira os seguintes valores para criar um escopo que define o acesso de leitura à API e selecione Adicionar escopo:
   1. Nome do escopo: demo.write
   2. Nome de exibição de consentimento do administrador: Write access to demo API
   3. Descrição do consentimento do administrador:Allows write access to the demo API

Aplicativos (Herdado)

1. Selecione Aplicativos (Herdado) .
2. Selecione o aplicativo webapi1 para abrir a página de Propriedades.
3. Selecione Escopos publicados. Os escopos publicados podem ser usados para conceder a um aplicativo cliente certas permissões da API Web.
4. Em ESCOPO, insira demo.read e, na DESCRIÇÃO, insira Read access to the web API.
5. Em ESCOPO, insira demo.write e, na DESCRIÇÃO, insira Write access to the web API.
6. Selecione Salvar.

Conceder permissões

Para chamar uma API Web protegida de um aplicativo, é necessário conceder permissões de aplicativo à API. Por exemplo, em Tutorial: Registre um aplicativo no Azure Active Directory B2C, um aplicativo Web denominado webapp1 será criado no Azure AD B2C. Você pode usar aplicativo para chamar a API da Web.

Registros de aplicativo

1. Selecione Registros de aplicativo e, em seguida, selecione o aplicativo Web que deve ter acesso à API. Por exemplo, webapp1.
2. Em Gerenciar, selecione Permissões de API.
3. Em Permissões Configuradas, selecione Adicionar uma permissão.
4. Selecione a guia Minhas APIs.
5. Selecione a API à qual o aplicativo Web deve receber acesso. Por exemplo, webapi1.
6. Em Permissão, expanda demonstração e, em seguida, selecione os escopos definidos anteriormente. Por exemplo, demo.read e demo.write.
7. Selecione Adicionar Permissões.
8. Selecione Fornecer o consentimento do administrador para (nome do seu locatário) .
9. Se for solicitado a selecionar uma conta, selecione a conta de administrador conectada no momento ou entre com uma conta no seu locatário do Azure AD B2C que tenha recebido, pelo menos, a função Administrador de aplicativos de nuvem.
10. Selecione Sim na barra superior.
11. Selecione Atualizar e, em seguida, verifique se "Concedido para..." aparece em Status para ambos os escopos.

Aplicativos (Herdado)

1. Selecione Aplicativos (Herdado) e, em seguida, selecione o aplicativo Web que deve ter acesso à API. Por exemplo, webapp1.
2. Selecione Acesso à API e, em seguida, selecione Adicionar.
3. Na lista suspensa Selecionar API, selecione a API à qual o aplicativo Web deve receber acesso. Por exemplo, webapi1.
4. Na lista suspensa Selecionar Escopos, selecione os escopos que você definiu anteriormente. Por exemplo, demo.read e demo.write.
5. Selecione OK.

Seu aplicativo é registrado para chamar a API Web protegida. Um usuário autentica-se com o Azure AD B2C para usar o aplicativo. O aplicativo obtém uma concessão de autorização do Azure AD B2C para acessar a API Web protegida.