Registrera ett Microsoft Graph-program

  • Artikel

Med Microsoft Graph kan du hantera många av resurserna i din Azure AD B2C-klientorganisation, inklusive kundanvändarkonton och anpassade principer. Genom att skriva skript eller program som anropar Microsoft Graph API kan du automatisera klienthanteringsuppgifter som:

  • Migrera ett befintligt användararkiv till en Azure AD B2C-klientorganisation
  • Distribuera anpassade principer med en Azure Pipeline i Azure DevOps och hantera anpassade principnycklar
  • Värdanvändarregistrering på din egen sida och skapa användarkonton i din Azure AD B2C-katalog i bakgrunden
  • Automatisera programregistrering
  • Hämta granskningsloggar

Följande avsnitt hjälper dig att förbereda dig för att använda Microsoft Graph API för att automatisera hanteringen av resurser i din Azure AD B2C-katalog.

Interaktionslägen för Microsoft Graph API

Det finns två kommunikationslägen som du kan använda när du arbetar med Microsoft Graph API för att hantera resurser i din Azure AD B2C-klientorganisation:

  • Interaktiv – Lämplig för aktiviteter som körs en gång använder du ett administratörskonto i B2C-klientorganisationen för att utföra hanteringsuppgifterna. Det här läget kräver att en administratör loggar in med sina autentiseringsuppgifter innan de anropar Microsoft Graph API.

  • Automatiserad – För schemalagda eller kontinuerliga aktiviteter använder den här metoden ett tjänstkonto som du konfigurerar med de behörigheter som krävs för att utföra hanteringsuppgifter. Du skapar "tjänstkontot" i Azure AD B2C genom att registrera ett program som dina program och skript använder för att autentisera med dess program-ID (klient)-ID och OAuth 2.0-klientautentiseringsuppgifterna . I det här fallet fungerar programmet som sig självt för att anropa Microsoft Graph API, inte administratörsanvändaren som i den tidigare beskrivna interaktiva metoden.

Du aktiverar scenariot Automatiserad interaktion genom att skapa en programregistrering som visas i följande avsnitt.

Azure AD B2C-autentiseringstjänsten har direkt stöd för OAuth 2.0-klientautentiseringsuppgifternas beviljandeflöde (för närvarande i offentlig förhandsversion), men du kan inte använda den för att hantera dina Azure AD B2C-resurser via Microsoft Graph API. Du kan dock konfigurera flöde för klientautentiseringsuppgifter med hjälp av Microsoft Entra-ID och Microsofts identitetsplattform-slutpunkten /token för ett program i din Azure AD B2C-klientorganisation.

Registrera hanteringsprogram

Innan dina skript och program kan interagera med Microsoft Graph API för att hantera Azure AD B2C-resurser måste du skapa en programregistrering i din Azure AD B2C-klientorganisation som beviljar nödvändiga API-behörigheter.

  1. Logga in på Azure-portalen.
  2. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klient från menyn Kataloger + prenumerationer.
  3. I Azure-portalen söker du efter och väljer Azure AD B2C.
  4. Välj Appregistreringar och välj sedan Ny registrering.
  5. Ange ett namn för programmet. Till exempel managementapp1.
  6. Välj Endast konton i den här organisationskatalogen.
  7. Under Behörigheter avmarkerar du kryssrutan Bevilja administratörsmedgivande till openid- och offline_access behörigheter .
  8. Välj Registrera.
  9. Registrera det program-ID (klient)-ID som visas på programöversiktssidan. Du använder det här värdet i ett senare steg.

Bevilja API-åtkomst

För att ditt program ska få åtkomst till data i Microsoft Graph beviljar du det registrerade programmet relevanta programbehörigheter. De gällande behörigheterna för ditt program är den fullständiga behörighetsnivån som behörigheten innebär. Om du till exempel vill skapa, läsa, uppdatera och ta bort alla användare i din Azure AD B2C-klientorganisation lägger du till behörigheten User.ReadWrite.All .

Kommentar

Behörigheten User.ReadWrite.All innehåller inte lösenord för att uppdatera användarkontot. Om ditt program behöver uppdatera lösenord för användarkontot kan du ge användaradministratörsrollen. När du beviljar användaradministratörsrollenkrävs inte User.ReadWrite.All . Användaradministratörsrollen innehåller allt som behövs för att hantera användare.

Du kan ge programmet flera programbehörigheter. Om ditt program till exempel också behöver hantera grupper i din Azure AD B2C-klientorganisation lägger du även till behörigheten Group.ReadWrite.All .

Appregistreringar

  1. Under Hantera väljer du API-behörigheter.
  2. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.
  3. Välj fliken Microsoft API:er och välj sedan Microsoft Graph.
  4. Välj Programbehörigheter.
  5. Expandera lämplig behörighetsgrupp och markera kryssrutan för behörigheten som ska beviljas till hanteringsprogrammet. Till exempel:
    • User>User.ReadWrite.All: För scenarier för användarmigrering eller användarhantering.
    • Group>Group.ReadWrite.All: För att skapa grupper, läsa och uppdatera gruppmedlemskap och ta bort grupper.
    • AuditLog>AuditLog.Read.All: För att läsa katalogens granskningsloggar.
    • Policy>Policy.ReadWrite.TrustFramework: För scenarier med kontinuerlig integrering/kontinuerlig leverans (CI/CD). Till exempel distribution av anpassad princip med Azure Pipelines.
  6. Välj Lägg till behörigheter. Vänta några minuter innan du fortsätter till nästa steg.
  7. Välj Bevilja administratörsmedgivande för (ditt klientnamn).
  8. Logga in med ett konto i din Azure AD B2C-klientorganisation som har tilldelats rollen Molnprogramadministratör och välj sedan Bevilja administratörsmedgivande för (ditt klientnamn).
  9. Välj Uppdatera och kontrollera sedan att "Beviljas för ..." visas under Status. Det kan ta några minuter innan behörigheterna sprids.

[Valfritt] Bevilja användaradministratörsroll

Om ditt program eller skript behöver uppdatera användarnas lösenord måste du tilldela användaradministratörsrollen till ditt program. Rollen Användaradministratör har en fast uppsättning behörigheter som du beviljar till ditt program.

Följ dessa steg för att lägga till rollen Användaradministratör :

  1. Logga in på Azure-portalen.
  2. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klient från menyn Kataloger + prenumerationer.
  3. Sök efter och markera Azure AD B2C.
  4. Under Hantera väljer du Roller och administratörer.
  5. Välj rollen Användaradministratör .
  6. Välj Lägg till tilldelningar.
  7. I textrutan Välj anger du namnet eller ID:t för programmet som du registrerade tidigare, till exempel managementapp1. När det visas i sökresultatet väljer du ditt program.
  8. Markera Lägga till. Det kan ta några minuter innan behörigheterna sprids fullständigt.

Skapa klienthemlighet

Ditt program behöver en klienthemlighet för att bevisa sin identitet när du begär en token. Följ dessa steg för att lägga till klienthemligheten:

  1. Under Hantera väljer du Certifikathemligheter&.
  2. Välj Ny klienthemlighet.
  3. Ange en beskrivning av klienthemligheten i rutan Beskrivning . Till exempel clientsecret1.
  4. Under Upphör att gälla väljer du en varaktighet för vilken hemligheten är giltig och väljer sedan Lägg till.
  5. Registrera hemlighetens värde. Du använder det här värdet för konfiguration i ett senare steg.

Nästa steg

Nu när du har registrerat ditt hanteringsprogram och gett det de behörigheter som krävs kan dina program och tjänster (till exempel Azure Pipelines) använda sina autentiseringsuppgifter och behörigheter för att interagera med Microsoft Graph API.