Поделиться через

Регистрация приложения Microsoft Graph

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Microsoft Graph позволяет управлять многими ресурсами в клиенте Azure AD B2C, включая учетные записи пользователей клиентов и настраиваемые политики. С помощью сценариев или приложений, вызывающих API Microsoft Graph, можно автоматизировать следующие задачи управления клиентами:

  • Перенос существующего хранилища пользователей в клиент Azure AD B2C
  • Развертывание настраиваемых политик с помощью Azure Pipeline в Azure DevOps и управление пользовательскими ключами политик
  • Размещайте регистрацию пользователей на собственной странице и создавайте учетные записи пользователей в каталоге Azure AD B2C в фоновом режиме
  • Автоматизируйте регистрацию приложений
  • Получение журналов аудита

Следующие разделы помогут вам подготовиться к использованию API Microsoft Graph для автоматизации управления ресурсами в каталоге Azure AD B2C.

Режимы взаимодействия с API Microsoft Graph

Существует два режима связи, которые можно использовать при работе с API Microsoft Graph для управления ресурсами в клиенте Azure AD B2C:

  • Интерактивный — подходит для задач однократного выполнения, когда для выполнения задач управления используется учетная запись администратора в клиенте B2C. В этом режиме администратор должен войти в систему с помощью своих учетных данных перед вызовом API Microsoft Graph.

  • Автоматизированные — для запланированных или непрерывно выполняемых задач этот метод использует учетную запись службы, настроенную с разрешениями, необходимыми для выполнения задач управления. Вы создаете учетную запись службы в Azure AD B2C путем регистрации приложения, которое приложения и скрипты используют для проверки подлинности с использованием идентификатора приложения (клиента) и предоставленных учетных данных клиента OAuth 2.0 . В этом случае приложение действует как само для вызова API Microsoft Graph, а не как пользователь с правами администратора, как в ранее описанном интерактивном методе.

Чтобы включить сценарий автоматизированного взаимодействия, создайте регистрацию приложения, показанную в следующих разделах.

Служба проверки подлинности Azure AD B2C напрямую поддерживает поток предоставления учетных данных клиента OAuth 2.0 (в настоящее время находится в общедоступной предварительной версии), но вы не можете использовать ее для управления ресурсами Azure AD B2C через API Microsoft Graph. Однако вы можете настроить поток учетных данных клиента с помощью Microsoft Entra ID и конечной точки платформы идентификации Microsoft для приложения в арендаторе Azure AD B2C.

Приложение для управления реестром

Прежде чем скрипты и приложения смогут взаимодействовать с API Microsoft Graph для управления ресурсами Azure AD B2C, необходимо создать регистрацию приложения в клиенте Azure AD B2C, которая предоставляет необходимые разрешения API.

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
  3. В портале Azure найдите и выберите Azure AD B2C.
  4. Выберите регистрации приложений и нажмите кнопку "Создать регистрацию".
  5. Введите имя приложения. Например, managementapp1.
  6. Установите флажок Учетные записи только в этом каталоге организации.
  7. В разделе Разрешения снимите флажок Предоставить согласие администратора на разрешения openid и offline_access.
  8. Выберите Зарегистрировать.
  9. Запишите идентификатор приложения (клиента), который отображается на странице обзора приложения. Вы будете использовать это значение на более позднем шаге.

Предоставление доступа к API

Чтобы приложение могло получать доступ к данным в Microsoft Graph, предоставьте зарегистрированному приложению соответствующие разрешения приложения. Действующие разрешения для приложения включают полный уровень привилегий, подразумеваемых разрешением. Например, чтобы создавать, читать, обновлять и удалять всех пользователей в клиенте Azure AD B2C, добавьте разрешение User.ReadWrite.All .

Замечание

Разрешение User.ReadWrite.All не включает возможность обновления паролей учетных записей пользователей. Если приложению необходимо обновить пароли учетных записей пользователей, предоставьте пользователю роль администратора. При предоставлении пользователю роли администратораUser.ReadWrite.All не требуется. Роль администратора пользователей включает в себя все необходимое для управления пользователями.

Вы можете предоставить приложению несколько разрешений. Например, если приложению также необходимо управлять группами в клиенте Azure AD B2C, добавьте разрешение Group.ReadWrite.All .

Регистрации приложений

  1. В разделе Управление выберите Разрешения API.
  2. В разделе Настроенные разрешения выберите Добавить разрешение.
  3. Перейдите на вкладку API Майкрософт и выберите Microsoft Graph.
  4. Выберите Разрешения приложения.
  5. Разверните соответствующую группу разрешений и установите флажок для разрешения, которое будет предоставлено приложению управления. Например:
    • Пользователь>User.ReadWrite.All: для сценариев миграции пользователей или управления пользователями.
    • Группа>Group.ReadWrite.All: для создания групп, чтения и обновления членства в группах, а также для удаления групп.
    • AuditLog>AuditLog.Read.All: для чтения журналов аудита в каталоге.
    • Политика>Policy.ReadWrite.TrustFramework: для сценариев непрерывной интеграции/непрерывной поставки (CI/CD). Например, пользовательское развертывание политики с помощью Azure Pipelines.
  6. Выберите Добавить разрешения. В соответствии с инструкциями подождите несколько минут, прежде чем перейти к следующему шагу.
  7. Выберите Предоставить согласие администратора для (имя арендатора).
  8. Войдите в систему с помощью учетной записи в клиенте Azure AD B2C, которому назначена роль администратора облачных приложений, а затем выберите Предоставить согласие администратора для (имя клиента).
  9. Выберите «Обновить», затем убедитесь, что «Предоставлено для...» отображается в разделе Статус. Распространение разрешений может занять несколько минут.

[Необязательный] Предоставление пользователю роли администратора

Если приложению или скрипту необходимо обновить пароли пользователей, необходимо назначить приложению роль администратора пользователя . Роль администратора пользователя имеет фиксированный набор разрешений, которые вы предоставляете своему приложению.

Чтобы добавить роль администратора пользователя , выполните следующие действия:

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
  3. Найдите и выберите Azure AD B2C.
  4. В разделе "Управление" выберите роли и администраторы.
  5. Выберите роль администратора пользователя .
  6. Щелкните Добавить назначения.
  7. В текстовом поле Выбрать введите имя или идентификатор приложения, которое вы зарегистрировали ранее, например, managementapp1. Когда оно появится в результатах поиска, выберите свое приложение.
  8. Нажмите кнопку "Добавить". Для полного распространения разрешений может потребоваться несколько минут.

Создание секрета клиента

Вашему приложению необходим ключ клиента, чтобы подтвердить его подлинность при запросе токена. Чтобы добавить секрет клиента, выполните следующие действия:

  1. В разделе Управление, выберите Сертификаты и секреты.
  2. Выберите новый секрет клиента.
  3. Введите описание секрета клиента в поле Описание. Например, clientsecret1.
  4. В разделе Истекает выберите срок действия секрета, а затем выберите Добавить.
  5. Запишите значение секрета. Это значение используется для настройки на следующем шаге.

Дальнейшие шаги

Теперь, когда вы зарегистрировали приложение управления и предоставили ему необходимые разрешения, приложения и службы (например, Azure Pipelines) могут использовать его учетные данные и разрешения для взаимодействия с API Microsoft Graph.

  • Last updated on