Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Klientska služba Fabric ponúka rozhranie JavaScript API pre vyťaženia služby Fabric na získanie tokenu pre ich aplikáciu v službe Microsoft Entra ID. Tento článok popisuje toto rozhranie API.
API
acquireAccessToken(params: AcquireAccessTokenParams): Promise<AccessToken>;
export interface AcquireAccessTokenParams {
additionalScopesToConsent?: string[];
claimsForConditionalAccessPolicy?: string;
promptFullConsent?: boolean;
}
Rozhranie API vráti objekt AccessToken obsahujúci samotný token a dátum skončenia platnosti tokenu.
Ak chcete zavolať rozhranie API v ukážke klientskej verzie, vytvorte vzorovú položku, posuňte sa nadol a vyberte položku Prejsť na stránku overenia. Odtiaľ môžete vybrať položku Získať prístupový token , aby ste získali token späť.
Súhlasy
Ak chcete zistiť, prečo sa vyžadujú súhlasy, prejdite na súhlas používateľa a správcu v ID Microsoft Entra.
Poznámka
Na fungovanie a získavanie tokenov v rámci nájomníkov sa vyžadujú súhlasy pre funkcie CRUD/Jobs.
Ako fungujú súhlasy pri vyťažení služby Fabric?
Ak chcete udeliť súhlas pre konkrétnu aplikáciu, fe služby Fabric vytvorí inštanciu MSAL nakonfigurovanú s ID aplikácie vyťaženia a požiada o token pre dané rozsahy (additionalScopesToConsent – pozrite si tému AcquireAccessTokenParams).
Keď budete žiadať o token v aplikácii na vyťaženie určený pre konkrétny rozsah, id Microsoft Entra zobrazí súhlas v prípade, že chýba, a potom presmeruje kontextové okno na identifikátor URI presmerovania nakonfigurovaný v aplikácii.
Identifikátor URI presmerovania sa zvyčajne nachádza v rovnakej doméne ako stránka, ktorá si vyžiadala token, takže stránka môže získať prístup k kontextovej ponuke a zavrieť ho.
V našom prípade sa táto doména nenachádza v rovnakej doméne, pretože služba Fabric požaduje token a identifikátor URI presmerovania vyťaženia sa v doméne služby Fabric nenachádza. Keď sa teda otvorí dialógové okno so súhlasom, je po presmerovaní potrebné manuálne zavrieť. Kód vrátený v identifikátore redirectUri nepoužívame, preto ho len automaticky uzavrieme (keď id Entra spoločnosti Microsoft presmeruje automaticky na identifikátor URI presmerovania, jednoducho sa zavrie).
Kód alebo konfiguráciu identifikátora Uri presmerovania môžete vidieť v súbore index.ts .
Tu je príklad kontextovej ponuky súhlasu s našou aplikáciou Moja aplikácia vyťaženia a jej závislostí (úložisko a služba Power BI), ktoré sme nakonfigurovali pri prechode na nastavenie overovania:
Ďalší spôsob udelenia súhlasu v domovskom nájomníkovi (voliteľné)
Ak chcete získať súhlas v domovskom nájomníkovi aplikácie, môžete požiadať správcu nájomníka, aby udelil súhlas celému nájomníkovi pomocou URL adresy v nasledujúcom formáte (vložte vlastné ID nájomníka a ID klienta):
https://login.microsoftonline.com/{tenantId}/adminconsent?client_id={clientId}
AcquireAccessTokenParams
Pri volaní rozhrania acquireAccessToken JS API môžeme zadať tri parametre:
- additionalScopesToConsent: Ďalšie rozsahy, pre ktoré chcete požiadať o súhlas, napríklad prieskumné scenáre.
- claimsForConditionalAccessPolicy: Nároky vrátené z Microsoft Entra ID pri zlyhaní postupov OBO, napríklad OBO vyžaduje viacfaktorové overenie.
- promptFullConsent: Zobrazí okno úplného súhlasu aplikácie so statickými závislosťami aplikácie na vyťaženie.
additionalScopesToConsent
Ak klientske vyťaženie žiada o token, ktorý sa má použiť na volania serverového serveru vyťaženia, tento parameter by mal mať hodnotu null. Koncový server vyťaženia nemôže na prijatom tokene vykonať OBO pre chýbajúcu chybu súhlasu. V takom prípade bude potrebné koncový server vyťaženia rozšíriť chybu do vyťaženia a zadať tento parameter.
claimsForConditionalAccessPolicy
Tento parameter sa používa, keď sa v službe BE stretávajú s zlyhaniami OBO z dôvodu niektorých politík podmieneného prístupu nakonfigurovaných v nájomníkovi.
Zlyhania OBO z dôvodu politík podmieneného prístupu vracajú reťazec s názvom "claims". Tento reťazec by sa mal odoslať do fe vyťaženia, kde by mal fe požiadať o token a odovzdať požiadavku ako nárokyForConditionalAccessPolicy. Ďalšie informácie nájdete v téme Spracovanie viacfaktorového overovania (MFA), podmienený prístup a prírastkový súhlas.
Príklady odpovedí v prípade zlyhania operácií OBO z dôvodu chýbajúcich súhlasov alebo politík podmieneného prístupu nájdete v časti AuthenticationService AddBearerClaimToResponse v ukážke služby BE.
Ďalšie informácie o týchto položkáchScopesToConsent a claimsForConditionalAccessPolicy a príklady používania nájdete v téme Pokyny na overovanie vyťaženia a podrobné informácie.
promptFullConsent (výzva)
Pri odovzdaní ako true sa používateľovi zobrazí úplný súhlas statických závislostí bez ohľadu na to, či poskytol súhlas predtým alebo nie. Príkladom použitia tohto parametra je pridanie tlačidla do používateľského rozhrania, kde ho môže používateľ použiť na udelenie úplného súhlasu s vyťažením.