Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Fabric ön ucu, Microsoft Entra Id'de uygulamaları için belirteç almak üzere Doku iş yükleri için JavaScript API'si sunar. Bu makalede bu API açıklanmaktadır.
API
acquireAccessToken(params: AcquireAccessTokenParams): Promise<AccessToken>;
export interface AcquireAccessTokenParams {
additionalScopesToConsent?: string[];
claimsForConditionalAccessPolicy?: string;
promptFullConsent?: boolean;
}
API, belirtecin kendisini ve belirtecin bitiş tarihini içeren bir AccessToken nesnesi döndürür.
Ön uç örneğinde API'yi çağırmak için bir örnek öğe oluşturun ve aşağı kaydırın ve Kimlik Doğrulaması sayfasına git'i seçin. Buradan Erişim belirteci al'ı seçerek bir belirteci geri alabilirsiniz.
Onaylar
İzinlerin neden gerekli olduğunu anlamak için lütfen Microsoft Entra Id'de Kullanıcı ve yönetici onayı bölümüne gidin.
Not
CRUD/İşlerin çalışması ve kiracılar arasında belirteçler alması için onaylar gereklidir.
Doku iş yüklerinde onaylar nasıl çalışır?
Doku FE, belirli bir uygulamaya onay vermek için iş yükünün uygulama kimliğiyle yapılandırılmış bir MSAL örneği oluşturur ve sağlanan kapsamlar için belirteç ister (additionalScopesToConsent - bkz . AcquireAccessTokenParams).
Microsoft Entra ID, belirli bir kapsam için iş yükü uygulamasıyla belirteç isterken, eksik olması durumunda bir açılır onay görüntüler ve ardından açılır pencereyi uygulamada yapılandırılan yeniden yönlendirme URI'sine yönlendirir.
Yeniden yönlendirme URI'si genellikle belirteci isteyen sayfayla aynı etki alanındadır, böylece sayfa açılır pencereye erişebilir ve kapatabilir.
Bizim örneğimizde doku belirteci istediğinden ve iş yükünün yeniden yönlendirme URI'si Doku etki alanında olmadığından aynı etki alanında değildir. Bu nedenle, onay iletişim kutusu açıldığında yeniden yönlendirmeden sonra el ile kapatılması gerekir. RedirectUri'de döndürülen kodu kullanmıyoruz, bu nedenle yalnızca otomatik kapatıyoruz (Microsoft Entra Id açılır pencereyi yeniden yönlendirme URI'sine yönlendirdiğinde, yalnızca kapatıyor).
yeniden yönlendirme Uri'sinin kodunu/yapılandırmasını index.ts dosyasında görebilirsiniz.
Uygulamamız "iş yükü uygulamam" ve kimlik doğrulaması kurulumu üzerinden geçiş yaparken yapılandırdığımız bağımlılıkları (depolama ve Power BI) için bir onay açılan menüsü örneği aşağıda verilmiştir:
Ev kiracısında onay vermenin başka bir yolu (isteğe bağlı)
Uygulamanın ev kiracısında onay almak için kiracı yöneticinizden aşağıdaki biçimde bir URL kullanarak kiracının tamamı için onay vermesini isteyebilirsiniz (kendi kiracı kimliğinizi ve istemci kimliğini ekleyin):
https://login.microsoftonline.com/{tenantId}/adminconsent?client_id={clientId}
AcquireAccessTokenParams
acquireAccessToken JS API'sini çağırırken üç parametre sağlayabiliriz:
- additionalScopesToConsent: Onay istemek için diğer kapsamlar, örneğin mutabakat senaryoları.
- claimsForConditionalAccessPolicy: OBO akışları başarısız olduğunda Microsoft Entra Id'den döndürülen talepler, örneğin OBO çok faktörlü kimlik doğrulaması gerektirir.
- promptFullConsent: İş yükleri uygulamasının statik bağımlılıklarının tam onay penceresini ister.
additionalScopesToConsent
İş yükü ön ucu, iş yükü arka ucuna yapılan çağrılar için kullanılacak bir belirteç istiyorsa, bu parametre null olmalıdır. bir onay eksik hatası nedeniyle alınan belirteçte iş yükü arka ucu OBO gerçekleştirebileceğinden, bu durumda iş yükü arka ucu hatayı iş yükü ön ucuna yaymak ve bu parametreyi sağlamak zorunda kalır.
claimsForConditionalAccessPolicy
Bu parametre, kiracıda yapılandırılmış bazı koşullu erişim ilkesi nedeniyle be iş yükünde OBO hatalarıyla karşılaşıldığında kullanılır.
Koşullu erişim ilkeleri nedeniyle OBO hataları "talepler" adlı bir dize döndürür. Bu dize, FE'nin belirteç istemesi ve talebi claimsForConditionalAccessPolicy olarak geçirmesi gereken iş yükü FE'sine gönderilmelidir. Daha fazla bilgi için bkz . Çok faktörlü kimlik doğrulamasını (MFA), koşullu erişimi ve artımlı onayı işleme.
Onay eksik veya koşullu erişim ilkeleri nedeniyle OBO işlemleri başarısız olduğunda yanıt örneklerini görmek için BE örneğindeki AuthenticationService AddBearerClaimToResponse kullanımına bakın.
Bu ekScopesToConsent ve claimsForConditionalAccessPolicy hakkında daha fazla bilgi edinmek ve kullanım örneklerine bakmak için bkz . İş yükü kimlik doğrulaması yönergeleri ve ayrıntılı bakış.
promptFullConsent
True olarak geçirildiğinde, daha önce onay verip vermediğinden bağımsız olarak kullanıcı için statik bağımlılıkların tam onayı açılır. Bu parametre için örnek bir kullanım, kullanıcının iş yüküne tam onay vermek için kullanabildiği bir düğmeyi UX'e eklemektir.