Добавление веб-API приложения в клиент Azure Active Directory B2C.

В этой статье описано, как зарегистрировать ресурсы веб-API в клиенте Azure Active Directory B2C (Azure AD B2C), чтобы эти ресурсы могли принимать запросы клиентских приложений, предоставляющие маркер доступа, и отвечать на эти запросы.

Чтобы зарегистрировать приложение в клиенте Azure AD B2C, можно использовать новый унифицированный интерфейс Регистрации приложений на портале Azure или устаревший интерфейс Приложения (прежняя версия). См. дополнительные сведения о новом интерфейсе.

Регистрация приложений

1. Войдите на портал Azure.
2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.
3. В меню слева выберите Azure AD B2C. Либо щелкните Все службы, а затем найдите и выберите Azure AD B2C
4. Щелкните Регистрация приложений и выберите Новая регистрация.
5. Введите имя приложения. Например, webapi1.
6. В разделе URL-перенаправления выберите Интернет, а затем введите конечную точку, куда Azure AD B2C будет возвращать все маркеры, запрашиваемые вашим приложением. В рабочем приложении можно задать универсальный код ресурса (URI) перенаправления и конечную точку, например https://localhost:5000. Во время разработки и тестирования можно указать веб-приложение корпорации Майкрософт https://jwt.ms, которое отображает декодированное содержимое токена (содержимое токена никогда не покидает браузер). URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время.
7. Выберите Зарегистрировать.
8. Запишите значение Идентификатор приложения (клиент), чтобы применить его в коде веб-API.

Приложения (прежние версии)

1. Войдите на портал Azure.
2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.
3. Выберите Все службы в левом верхнем углу окна портала Azure, а затем найдите и выберите Azure AD B2C.
4. Щелкните Applications (Legacy) (Приложения (Прежние версии)), а затем выберите Добавить.
5. Введите имя приложения. Например, webapi1.
6. Для поля Включить веб-приложение или веб-API и Разрешить неявный поток выберите Да.
7. Для URL-адреса ответа введите конечные точки, куда Azure AD B2C возвращает все маркеры, запрашиваемые вашим приложением. В рабочем приложении вы можете задать значение URL-адреса ответа, например https://localhost:44332. Для тестирования укажите URL-адрес https://jwt.ms.
8. Для поля URI идентификатора приложения выберите идентификатор, используемый для веб-API. Полный URI код с доменом создается автоматически. Например, https://contosotenant.onmicrosoft.com/api.
9. Выберите Создать.
10. На странице свойств запишите идентификатор приложения, который будет использоваться при настройке веб-приложения.

Настройка областей

Области предоставляют способ контроля доступа к защищенным ресурсам. Области используются веб-API для реализации управления доступом на уровне области. Например, пользователи веб-API могут иметь доступ на чтение и запись или доступ только на чтение. В этом руководстве также можно использовать области для определения разрешений на чтение и запись для веб-API.

Регистрация приложений

1. Щелкните Регистрация приложений.
2. Выберите приложение webapi1, чтобы открыть его страницу Обзор.
3. В разделе Управление выберите Предоставление API.
4. Рядом с URI идентификатора приложения выберите ссылку "Добавить ".
5. Замените значение по умолчанию (GUID) значением api, а затем выберите Сохранить. Отобразится полный универсальный код ресурса (URI). Он должен быть в формате https://your-tenant-name.onmicrosoft.com/api. Когда веб-приложение запрашивает маркер доступа для API, оно должно добавить этот универсальный код ресурса (URI) в качестве префикса для каждой области, определяемой для API.
6. В разделе Области, определенные этим API выберите Добавление области.
7. Введите следующие значения, чтобы создать область, определяющий доступ на чтение к API, а затем нажмите кнопку "Добавить область".
   1. Имя области: demo.read
   2. Отображаемое имя согласия администратора: Read access to demo API
   3. Описание согласия администратора: Allows read access to the demo API
8. Выберите "Добавить область", введите следующие значения, чтобы добавить область, определяющий доступ на запись в API, а затем нажмите кнопку "Добавить область".
   1. Имя области: demo.write
   2. Отображаемое имя согласия администратора: Write access to demo API
   3. Описание согласия администратора: Allows write access to the demo API

Приложения (прежние версии)

1. Выберите Приложения (прежние версии).
2. Выберите приложение webapi1, чтобы открыть страницу его свойств.
3. Выберите Опубликованные области. Опубликованные области можно использовать для предоставления клиентскому приложению определенных разрешений на доступ к веб-API.
4. Для параметра Область введите demo.read, а для параметра Описание — Read access to the web API.
5. Для параметра Область введите demo.write, а для параметра Описание — Write access to the web API.
6. Выберите Сохранить.

Предоставить разрешения

Чтобы вызвать защищенный веб-API из приложения, необходимо предоставить приложению разрешения на доступ к API. Например, в статье Руководство. Регистрация приложения в Azure Active Directory B2C описано, как зарегистрировать приложение webapp1 в службе AAD B2C. С помощью этого приложения вы можете вызвать веб-API.

Регистрация приложений

1. Щелкните Регистрация приложений, а затем выберите веб-приложение, которое должно иметь доступ к API. Например, webapp1.
2. В разделе Управление выберите Разрешения API.
3. В разделе Настроенные разрешения выберите Добавить разрешение.
4. Выберите вкладку Мои API.
5. Выберите API, к которому должен быть предоставлен доступ веб-приложению. Например, webapi1.
6. В разделе Разрешение разверните узел Демонстрация, а затем выберите определенные ранее области. Например, demo.read и demo.write.
7. Выберите Добавить разрешения.
8. Выберите Предоставить согласие администратора для (имя арендатора).
9. Когда вам будет предложено, выберите учетную запись администратора, с которой выполнен вход, или выполните вход с учетной записью в арендаторе Azure AD B2C, которой назначена по крайней мере роль Администратор облачных приложений.
10. Выберите Да.
11. Нажмите Обновить и убедитесь, что надпись "Предоставлено для..." отображается в разделе Состояние для обеих областей.

Приложения (прежние версии)

1. Щелкните Приложения (прежние версии), а затем выберите веб-приложение, которое должно иметь доступ к API. Например, webapp1.
2. Щелкните Доступ через API, а затем выберите Добавить.
3. В раскрывающемся списке Выбрать API выберите API, к которому должен быть предоставлен доступ веб-приложению. Например, webapi1.
4. В раскрывающемся списке Выбрать области выберите области, определенные ранее. Например, demo.read и demo.write.
5. Нажмите ОК.

Приложение зарегистрировано для вызова защищенного веб-API. Пользователь выполняет аутентификацию в Azure AD B2C для использования приложения. Приложение получает предоставление авторизации из Azure AD B2C для доступа к защищенному веб-API.