Bevilja åtkomst till API:et för inkommande etablering

Introduktion

När du har konfigurerat en API-driven inkommande etableringsapp måste du bevilja åtkomstbehörigheter så att API-klienter kan skicka begäranden till etablerings-/bulkUpload-API:et och köra frågor mot API:et för etableringsloggar. I den här självstudien går vi igenom stegen för att konfigurera dessa behörigheter.

Beroende på hur DIN API-klient autentiserar med Microsoft Entra-ID kan du välja mellan två konfigurationsalternativ:

• Konfigurera ett huvudnamn för tjänsten: Följ dessa instruktioner om API-klienten planerar att använda tjänstens huvudnamn för en Microsoft Entra-registrerad app och autentisera med hjälp av OAuth-klientautentiseringsuppgifternas beviljandeflöde.
• Konfigurera en hanterad identitet: Följ dessa instruktioner om DIN API-klient planerar att använda en Microsoft Entra-hanterad identitet.

Konfigurera ett huvudnamn för tjänsten

Den här konfigurationen registrerar en app i Microsoft Entra-ID som representerar den externa API-klienten och ger den behörighet att anropa API:et för inkommande etablering. Klient-ID och klienthemlighet för tjänstens huvudnamn kan användas i beviljandeflödet för OAuth-klientautentiseringsuppgifter.

1. Logga in på administrationscentret för Microsoft Entra (https://entra.microsoft.com) med minst inloggningsuppgifter för programadministratör .
2. Bläddra till Microsoft Entra ID ->Applications ->Appregistreringar.
3. Klicka på alternativet Ny registrering.
4. Ange ett appnamn, välj standardalternativen och klicka på Registrera.
5. Kopiera värdena för program-ID och katalog-ID (klientorganisation) från bladet Översikt och spara det för senare användning i API-klienten.
6. I snabbmenyn i appen väljer du alternativet Certifikat och hemligheter .
7. Skapa en ny klienthemlighet. Ange en beskrivning av hemligheten och förfallodatumet.
8. Kopiera det genererade värdet för klienthemligheten och spara det för senare användning i API-klienten.
9. På snabbmenyns API-behörigheter väljer du alternativet Lägg till en behörighet.
10. Under Api-behörigheter för begäran väljer du Microsoft Graph.
11. Välj Programbehörigheter.
12. Sök och välj behörigheten AuditLog.Read.All och SynchronizationData-User.Upload.
13. Klicka på Bevilja administratörsmedgivande på nästa skärm för att slutföra behörighetstilldelningen. Klicka på Ja i bekräftelsedialogrutan. Appen bör ha följande behörighetsuppsättningar.
14. Nu är du redo att använda tjänstens huvudnamn med DIN API-klient.
15. För produktionsarbetsbelastningar rekommenderar vi att du använder klientcertifikatbaserad autentisering med tjänstens huvudnamn eller hanterade identiteter.

Konfigurera en hanterad identitet

I det här avsnittet beskrivs hur du kan tilldela nödvändiga behörigheter till en hanterad identitet.

1. Konfigurera en hanterad identitet för användning med din Azure-resurs.

2. Kopiera namnet på din hanterade identitet från administrationscentret för Microsoft Entra. Exempel: Skärmbilden nedan visar namnet på en systemtilldelad hanterad identitet som är associerad med ett Azure Logic Apps-arbetsflöde med namnet "CSV2SCIMBulkUpload".

   

3. Kör följande PowerShell-skript för att tilldela behörigheter till din hanterade identitet.

   Install-Module Microsoft.Graph -Scope CurrentUser
   
   Connect-MgGraph -Scopes "Application.Read.All","AppRoleAssignment.ReadWrite.All,RoleManagement.ReadWrite.Directory"
   $graphApp = Get-MgServicePrincipal -Filter "AppId eq '00000003-0000-0000-c000-000000000000'"
   
   $PermissionName = "SynchronizationData-User.Upload"
   $AppRole = $graphApp.AppRoles | `
   Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
   $managedID = Get-MgServicePrincipal -Filter "DisplayName eq 'CSV2SCIMBulkUpload'"
   New-MgServicePrincipalAppRoleAssignment -PrincipalId $managedID.Id -ServicePrincipalId $managedID.Id -ResourceId $graphApp.Id -AppRoleId $AppRole.Id
   
   $PermissionName = "AuditLog.Read.All"
   $AppRole = $graphApp.AppRoles | `
   Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
   $managedID = Get-MgServicePrincipal -Filter "DisplayName eq 'CSV2SCIMBulkUpload'"
   New-MgServicePrincipalAppRoleAssignment -PrincipalId $managedID.Id -ServicePrincipalId $managedID.Id -ResourceId $graphApp.Id -AppRoleId $AppRole.Id
   

4. Om du vill bekräfta att behörigheten har tillämpats hittar du tjänstens huvudnamn för den hanterade identitetstjänsten under Företagsprogram i Microsoft Entra-ID. Ta bort filtret Programtyp för att se alla tjänsthuvudnamn.

5. Klicka på bladet Behörigheter under Säkerhet. Kontrollera att behörigheten har angetts.

6. Nu är du redo att använda den hanterade identiteten med DIN API-klient.

Nästa steg

• Snabbstart med cURL
• Snabbstart med Graph Explorer
• Vanliga frågor och svar om API-driven inkommande etablering