Поделиться через

Получение доступа к API в контексте приложения

В этой статье описывается, как создать приложение для получения программного доступа к API microsoft Managed Desktop с собственным удостоверением, а не от имени пользователя.

Для доступа к API требуется проверка подлинности OAuth2.0. Дополнительные сведения см. в разделе Поток учетных данных клиента OAuth 2.0.

Чтобы настроить службу и получить маркер доступа, выполните следующие действия:

  1. Создание и регистрация приложения Microsoft Entra.
  2. Настройте разрешения для microsoft Managed Desktop в приложении.
  3. Получение согласия администратора.
  4. Получите маркер доступа с помощью этого приложения.
  5. Используйте маркер для доступа к API microsoft Managed Desktop.

Создать приложение

Для проверки подлинности с помощью конечной точки платформа удостоверений Майкрософт необходимо сначала зарегистрировать приложение на портале регистрации приложений Azure.

Для службы, которая будет вызывать API microsoft Managed Desktop с собственным удостоверением, необходимо зарегистрировать приложение для веб-платформы и скопировать следующие значения:

  • идентификатор приложения, назначенный порталом регистрации Azure;
  • секрет клиента (приложения) — пароль или пара из открытого и закрытого ключей (сертификат);
  • URL-адрес перенаправления, с помощью которого служба будет получать ответы с маркерами;

Инструкции по настройке приложения на портале Azure см. в статье Регистрация приложения.

С помощью потока предоставления учетных данных клиента OAuth 2.0 приложение выполняет проверку подлинности непосредственно в конечной точке платформа удостоверений Майкрософт с помощью идентификатора приложения, назначенного Microsoft Entra ID, и секрета клиента, созданного с помощью портала.

Настройка разрешений

Чтобы настроить разрешения приложения для приложения на портале регистрации приложений Azure, выполните следующие действия.

  1. На странице разрешений API приложения выберите Добавить разрешения > API API, которые используются >в моей организации, введите Интерфейсы >API современных рабочих клиентов, выберите Современные API-интерфейсы клиента на рабочем месте.
  2. Выберите Разрешения > приложения MmdSupport.ReadWrite, а затем выберите Добавить разрешения.

Страница запроса разрешений API

Вам потребуется администратор, чтобы предоставить согласие администратора для вашего приложения.

Получение токена доступа

Дополнительные сведения о маркерах Microsoft Entra см. в руководстве по Microsoft Entra.

В потоке предоставления учетных данных клиента OAuth 2.0 используйте идентификатор приложения и значения секрета клиента, сохраненные при регистрации приложения, для запроса маркера доступа непосредственно из конечной точки платформа удостоверений Майкрософт /token.

Запрос на получение маркера

Вы отправляете HTTP-запрос POST в конечную точку платформы удостоверений /token для получения маркера доступа:

https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token
Параметр Условие Описание
tenantId Обязательный Microsoft Entra ID клиента.
client_id Обязательный Идентификатор приложения, назначенный при регистрации приложения.
Scope Обязательный Необходимое значение — https://mwaas-services-customerapi-prod.azurewebsites.net/.default.
client_secret Обязательный Секрет клиента, созданный для приложения на портале регистрации приложений.
grant_type Обязательный Должно быть задано значение client_credentials.

Ответ с маркером

Успешный ответ JSON выглядит следующим образом:

{
    "token_type": "Bearer",
    "expires_in": "3599",
    "access_token": "access_token"
}
Параметр Описание
access_token Запрошенный маркер доступа. Приложение может использовать этот маркер в вызовах API.
token_type Должен быть носителем.
expires_in Как долго маркер доступа действителен (в секундах.

Использование маркера для доступа к API microsoft Managed Desktop

  1. Выберите API, который вы хотите использовать.
  2. Задайте заголовок авторизации в HTTP-запросе, отправляемом в "Bearer {token}" (Bearer — это схема авторизации).