Поделиться через


Добавление веб-API приложения в клиент Azure Active Directory B2C.

В этой статье описано, как зарегистрировать ресурсы веб-API в клиенте Azure Active Directory B2C (Azure AD B2C), чтобы эти ресурсы могли принимать запросы клиентских приложений, предоставляющие маркер доступа, и отвечать на эти запросы.

Чтобы зарегистрировать приложение в клиенте Azure AD B2C, можно использовать новый унифицированный интерфейс Регистрации приложений на портале Azure или устаревший интерфейс Приложения (прежняя версия). См. дополнительные сведения о новом интерфейсе.

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.
  3. В меню слева выберите Azure AD B2C. Либо щелкните Все службы, а затем найдите и выберите Azure AD B2C
  4. Щелкните Регистрация приложений и выберите Новая регистрация.
  5. Введите имя приложения. Например, webapi1.
  6. В разделе URL-перенаправления выберите Интернет, а затем введите конечную точку, куда Azure AD B2C будет возвращать все маркеры, запрашиваемые вашим приложением. В рабочем приложении можно задать универсальный код ресурса (URI) перенаправления и конечную точку, например https://localhost:5000. Во время разработки и тестирования можно указать веб-приложение корпорации Майкрософт https://jwt.ms, которое отображает декодированное содержимое токена (содержимое токена никогда не покидает браузер). URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время.
  7. Выберите Зарегистрировать.
  8. Запишите значение Идентификатор приложения (клиент), чтобы применить его в коде веб-API.

Настройка областей

Области предоставляют способ контроля доступа к защищенным ресурсам. Области используются веб-API для реализации управления доступом на уровне области. Например, пользователи веб-API могут иметь доступ на чтение и запись или доступ только на чтение. В этом руководстве также можно использовать области для определения разрешений на чтение и запись для веб-API.

  1. Щелкните Регистрация приложений.
  2. Выберите приложение webapi1, чтобы открыть его страницу Обзор.
  3. В разделе Управление выберите Предоставление API.
  4. Рядом с URI идентификатора приложения выберите ссылку "Добавить ".
  5. Замените значение по умолчанию (GUID) значением api, а затем выберите Сохранить. Отобразится полный универсальный код ресурса (URI). Он должен быть в формате https://your-tenant-name.onmicrosoft.com/api. Когда веб-приложение запрашивает маркер доступа для API, оно должно добавить этот универсальный код ресурса (URI) в качестве префикса для каждой области, определяемой для API.
  6. В разделе Области, определенные этим API выберите Добавление области.
  7. Введите следующие значения, чтобы создать область, определяющий доступ на чтение к API, а затем нажмите кнопку "Добавить область".
    1. Имя области: demo.read
    2. Отображаемое имя согласия администратора: Read access to demo API
    3. Описание согласия администратора: Allows read access to the demo API
  8. Выберите "Добавить область", введите следующие значения, чтобы добавить область, определяющий доступ на запись в API, а затем нажмите кнопку "Добавить область".
    1. Имя области: demo.write
    2. Отображаемое имя согласия администратора: Write access to demo API
    3. Описание согласия администратора: Allows write access to the demo API

Предоставить разрешения

Чтобы вызвать защищенный веб-API из приложения, необходимо предоставить приложению разрешения на доступ к API. Например, в статье Руководство. Регистрация приложения в Azure Active Directory B2C описано, как зарегистрировать приложение webapp1 в службе AAD B2C. С помощью этого приложения вы можете вызвать веб-API.

  1. Щелкните Регистрация приложений, а затем выберите веб-приложение, которое должно иметь доступ к API. Например, webapp1.
  2. В разделе Управление выберите Разрешения API.
  3. В разделе Настроенные разрешения выберите Добавить разрешение.
  4. Выберите вкладку Мои API.
  5. Выберите API, к которому должен быть предоставлен доступ веб-приложению. Например, webapi1.
  6. В разделе Разрешение разверните узел Демонстрация, а затем выберите определенные ранее области. Например, demo.read и demo.write.
  7. Выберите Добавить разрешения.
  8. Выберите Предоставить согласие администратора для (имя арендатора).
  9. Когда вам будет предложено, выберите учетную запись администратора, с которой выполнен вход, или выполните вход с учетной записью в арендаторе Azure AD B2C, которой назначена по крайней мере роль Администратор облачных приложений.
  10. Выберите Да.
  11. Нажмите Обновить и убедитесь, что надпись "Предоставлено для..." отображается в разделе Состояние для обеих областей.

Приложение зарегистрировано для вызова защищенного веб-API. Пользователь выполняет аутентификацию в Azure AD B2C для использования приложения. Приложение получает предоставление авторизации из Azure AD B2C для доступа к защищенному веб-API.