Configurar o gerenciador de credenciais - API do Microsoft Graph
APLICA-SE A: Todas as camadas de gerenciamento de API
Este artigo orienta você pelas etapas necessárias para criar uma conexão gerenciada com a API do Microsoft Graph no Gerenciamento de API do Azure. O tipo de concessão de código de autorização é usado neste exemplo.
Sabe como:
- Criar um aplicativo Microsoft Entra
- Criar e configurar um provedor de credenciais no Gerenciamento de API
- Configurar uma conexão
- Criar uma API do Microsoft Graph no Gerenciamento de API e configurar uma política
- Teste sua API do Microsoft Graph no Gerenciamento de API
Pré-requisitos
Acesso a um locatário do Microsoft Entra onde você tem permissões para criar um registro de aplicativo e conceder consentimento de administrador para as permissões do aplicativo. Mais informações
Se você quiser criar seu próprio locatário de desenvolvedor, você pode se inscrever para o Microsoft 365 Developer Program.
Uma instância de Gerenciamento de API em execução. Se precisar, crie uma instância de Gerenciamento de API do Azure.
Habilite uma identidade gerenciada atribuída ao sistema para o Gerenciamento de API na instância de Gerenciamento de API.
Etapa 1: Criar um aplicativo Microsoft Entra
Crie um aplicativo Microsoft Entra para a API e dê a ele as permissões apropriadas para as solicitações que você deseja chamar.
Entre no portal do Azure com uma conta com permissões suficientes no locatário.
Em Serviços do Azure, procure Microsoft Entra ID.
No menu esquerdo, selecione Registos de aplicações e, em seguida, selecione + Novo registo.
Na página Registar uma candidatura, introduza as definições de registo da sua aplicação:
Em Nome, insira um nome significativo que será exibido para os usuários do aplicativo, como MicrosoftGraphAuth.
Em Tipos de conta suportados, selecione uma opção que se adapte ao seu cenário, por exemplo, Contas apenas neste diretório organizacional (Locatário único).
Defina o URI de redirecionamento para Web e digite
https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>, substituindo o nome do serviço de Gerenciamento de API onde você configurará o provedor de credenciais.Selecione Registar.
No menu à esquerda, selecione Permissões de API e, em seguida, selecione + Adicionar uma permissão.
- Selecione Microsoft Graph e, em seguida, selecione Permissões delegadas.
Nota
Verifique se a permissão User.Read com o tipo Delegateed já foi adicionada.
- Digite Team, expanda as opções Team e selecione Team.ReadBasic.All. Selecione Adicionar permissões.
- Em seguida, selecione Conceder consentimento de administrador para o diretório padrão. O status das permissões muda para Granted for Default Directory.
- Selecione Microsoft Graph e, em seguida, selecione Permissões delegadas.
No menu à esquerda, selecione Visão geral. Na página Visão geral, localize o valor da ID do aplicativo (cliente) e registre-o para uso na Etapa 2.
No menu à esquerda, selecione Certificados & segredos e, em seguida, selecione + Novo segredo do cliente.
- Insira uma descrição.
- Selecione uma opção para Expira.
- Selecione Adicionar.
- Copie o Valor do segredo do cliente antes de sair da página. Você vai precisar dele no Passo 2.
Etapa 2: Configurar um provedor de credenciais no Gerenciamento de API
Entre no portal e vá para sua instância de Gerenciamento de API.
No menu à esquerda, selecione Gerenciador de credenciais e, em seguida, selecione + Criar.
Na página Criar provedor de credenciais, insira as seguintes configurações e selecione Criar:
Definições Value Nome do provedor de credenciais Um nome de sua escolha, como MicrosoftEntraID-01 Fornecedor de identidade Selecione Azure Ative Directory v1 Tipo de subvenção Selecione o código de autorização URL de autorização Opcional para o provedor de identidade Microsoft Entra. A predefinição é https://login.microsoftonline.com.ID de Cliente Cole o valor copiado anteriormente do registro do aplicativo Segredo do cliente Cole o valor copiado anteriormente do registro do aplicativo URL do Recurso https://graph.microsoft.comID do Inquilino Opcional para o provedor de identidade Microsoft Entra. O padrão é Comum. Âmbitos Opcional para o provedor de identidade Microsoft Entra. Configurado automaticamente a partir das permissões de API do aplicativo Microsoft Entra.
Etapa 3: Configurar uma conexão
Na guia Conexão, conclua as etapas para sua conexão com o provedor.
Nota
Quando você configura uma conexão, o Gerenciamento de API por padrão define uma política de acesso que permite o acesso pela identidade gerenciada atribuída aos sistemas da instância. Este acesso é suficiente para este exemplo. Você pode adicionar políticas de acesso adicionais conforme necessário.
- Introduza um Nome de ligação e, em seguida, selecione Guardar.
- Em Etapa 2: Faça login na sua conexão (para o tipo de concessão de código de autorização), selecione o link para fazer login no provedor de credenciais. Conclua as etapas para autorizar o acesso e retornar ao Gerenciamento de API.
- Em Etapa 3: Determinar quem terá acesso a essa conexão (política de acesso), o membro da identidade gerenciada será listado. Adicionar outros membros é opcional, dependendo do seu cenário.
- Selecione Concluir.
A nova conexão aparece na lista de conexões e mostra um status de Conectado. Se desejar criar outra conexão para o provedor de credenciais, conclua as etapas anteriores.
Gorjeta
Use o portal para adicionar, atualizar ou excluir conexões com um provedor de credenciais a qualquer momento. Para obter mais informações, consulte Configurar várias conexões.
Nota
Se você atualizar suas permissões do Microsoft Graph após esta etapa, você terá que repetir as etapas 2 e 3.
Etapa 4: Criar uma API do Microsoft Graph no Gerenciamento de API e configurar uma política
Entre no portal e vá para sua instância de Gerenciamento de API.
No menu à esquerda, selecione APIs > + Adicionar API.
Selecione HTTP e insira as seguintes configurações. Depois, selecione Criar.
Definição valor Nome a apresentar Msgraph URL do serviço Web https://graph.microsoft.com/v1.0Sufixo do URL da API Msgraph Navegue até a API recém-criada e selecione Adicionar operação. Insira as seguintes configurações e selecione Salvar.
Definição valor Nome a apresentar getprofile URL para GET /me Siga as etapas anteriores para adicionar outra operação com as seguintes configurações.
Definição valor Nome a apresentar getJoinedTeams URL para GET /me/joinedTeams Selecione Todas as operações. Na seção Processamento de entrada, selecione o ícone (</>) (editor de código).
Copie e cole o trecho a seguir. Atualize a
get-authorization-contextpolítica com os nomes do provedor de credenciais e da conexão que você configurou nas etapas anteriores e selecione Salvar.- Substitua o nome do provedor de credenciais pelo valor de
provider-id - Substitua seu nome de conexão pelo valor de
authorization-id
<policies> <inbound> <base /> <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" /> <set-header name="Authorization" exists-action="override"> <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value> </set-header> </inbound> <backend> <base /> </backend> <outbound> <base /> </outbound> <on-error> <base /> </on-error> </policies>- Substitua o nome do provedor de credenciais pelo valor de
A definição de política precedente consiste em duas partes:
- A política get-authorization-context busca um token de autorização fazendo referência ao provedor de credenciais e à conexão criados anteriormente.
- A política set-header cria um cabeçalho HTTP com o token de acesso buscado.
Etapa 5: Testar a API
Na guia Teste, selecione uma operação que você configurou.
Selecione Enviar.
Uma resposta bem-sucedida retorna dados do usuário do Microsoft Graph.
Conteúdos relacionados
- Saiba mais sobre as políticas de autenticação e autorização no Gerenciamento de API do Azure.
- Saiba mais sobre escopos e permissões no Microsoft Entra ID.