Hinzufügen einer Web-API-Anwendung zu Ihrem Azure Active Directory B2C-Mandanten

In diesem Artikel erfahren Sie, wie Sie Web-API-Ressourcen in Ihrem Azure Active Directory B2C-Mandanten (Azure AD B2C) registrieren, sodass sie Anforderungen von Clientanwendungen akzeptieren und darauf reagieren können, die ein Zugriffstoken darstellen.

Zum Registrieren einer Anwendung in Ihrem Azure AD B2C-Mandanten können Sie im Azure-Portal die neue einheitliche Benutzeroberfläche für App-Registrierungen oder die alte Benutzeroberfläche für Anwendungen (Legacy) verwenden. Weitere Informationen zur neuen Oberfläche

App-Registrierungen

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Wählen Sie im linken Menü die Option Azure AD B2C aus. Oder wählen Sie Alle Dienste aus, suchen Sie nach dem Eintrag Azure AD B2C, und wählen Sie ihn aus.
4. Wählen Sie App-Registrierungen aus, und wählen Sie dann Registrierung einer neuen Anwendung aus.
5. Geben Sie unter Name einen Namen für die Anwendung ein. Beispiel: webapi1.
6. Wählen Sie unter Umleitungs-URI die Option Web aus, und geben Sie dann einen Endpunkt ein, an den Azure AD B2C von Ihrer Anwendung angeforderte Token zurückgeben soll. In einer Produktionsanwendung können Sie den Umleitungs-URI auf einen Endpunkt wie https://localhost:5000 festlegen. In einer Entwicklungs- oder Testumgebung können Sie ihn auf https://jwt.ms festlegen. Dabei handelt es sich um eine Microsoft-Webanwendung, die den decodierten Inhalt eines Tokens anzeigt (der Inhalt des Tokens verlässt niemals Ihren Browser). Sie können Umleitungs-URIs in Ihren registrierten Anwendungen jederzeit hinzufügen und ändern.
7. Wählen Sie Registrieren.
8. Notieren Sie sich die Anwendungs-ID (Client) zur Verwendung im Code der Web-API.

Anwendungen (Legacy)

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Wählen Sie links oben im Azure-Portal die Option Alle Dienste aus, suchen Sie nach Azure AD B2C, und wählen Sie dann diese Option aus.
4. Wählen Sie Anwendungen (Legacy) und dann Hinzufügen aus.
5. Geben Sie einen Namen für die Anwendung ein. Beispiel: webapi1.
6. Wählen Sie für Web-App/Web-API einschließen und nImpliziten Ablauf zulassen die Option Ja.
7. Geben Sie für Antwort-URLs einen Endpunkt ein, an den Azure AD B2C von Ihrer App angeforderte Token zurückgibt. In Ihrer Produktionsanwendung können Sie die Antwort-URL auf einen Wert wie https://localhost:44332 festlegen. Zu Testzwecken legen Sie die Antwort-URL auf https://jwt.ms fest.
8. Geben Sie für App-ID-URI den für Ihre Web-API verwendeten Bezeichner ein. Der vollständige Bezeichner-URI (einschließlich der Domäne) wird für Sie generiert. Beispiel: https://contosotenant.onmicrosoft.com/api.
9. Klicken Sie auf Erstellen.
10. Notieren Sie sich auf der Eigenschaftenseite die Anwendungs-ID, die Sie beim Konfigurieren der Webanwendung verwenden.

Konfigurieren von Bereichen

Bereiche ermöglichen die Steuerung des Zugriffs auf geschützte Ressourcen. Bereiche werden von der Web-API verwendet, um eine bereichsbasierte Zugriffssteuerung zu implementieren. Benutzer der Web-API können beispielsweise über Lese- und Schreibzugriff oder nur über Lesezugriff verfügen. In diesem Tutorial verwenden Sie Bereiche zum Definieren von Lese- und Schreibberechtigungen für die Web-API.

App-Registrierungen

1. Wählen Sie App-Registrierungen aus.
2. Wählen Sie die Anwendung webapi1 aus, um ihre Übersicht-Seite zu öffnen.
3. Wählen Sie unter Verwalten die Option Eine API verfügbar machen aus.
4. Wählen Sie neben Anwendungs-ID-URI den Link Hinzufügen aus.
5. Ersetzen Sie den Standardwert (eine GUID) durch api, und wählen Sie dann Speichern aus. Der vollständige URI wird angezeigt und sollte das Format https://your-tenant-name.onmicrosoft.com/api aufweisen. Wenn Ihre Webanwendung ein Zugriffstoken für die API anfordert, sollte sie diesen URI als Präfix für jeden Bereich hinzufügen, den Sie für die API definieren.
6. Wählen Sie unter Durch diese API definierte Bereiche die Option Bereich hinzufügen aus.
7. Geben Sie die folgenden Werte ein, um einen Bereich zu erstellen, der Lesezugriff auf die API definiert, und wählen Sie dann Bereich hinzufügen aus:
   1. Bereichsname: demo.read
   2. Anzeigename der Administratoreinwilligung: Read access to demo API
   3. Beschreibung der Administratoreinwilligung: Allows read access to the demo API
8. Wählen Sie Bereich hinzufügen aus, geben Sie die folgenden Werte ein, um einen Bereich hinzuzufügen, der Schreibzugriff auf die API definiert, und wählen Sie dann Bereich hinzufügen aus:
   1. Bereichsname: demo.write
   2. Anzeigename der Administratoreinwilligung: Write access to demo API
   3. Beschreibung der Administratoreinwilligung: Allows write access to the demo API

Anwendungen (Legacy)

1. Wählen Sie Anwendungen (Legacy) aus.
2. Wählen Sie die Anwendung webapi1 aus, um ihre Seite mit den Eigenschaften zu öffnen.
3. Wählen Sie Veröffentlichte Bereiche aus. Mit den veröffentlichten Bereichen können einer Clientanwendung bestimmte Berechtigungen für die Web-API gewährt werden.
4. Geben Sie unter BEREICH den Bereich demo.read und als BESCHREIBUNGRead access to the web API ein.
5. Geben Sie unter BEREICH den Bereich demo.write und als BESCHREIBUNGWrite access to the web API ein.
6. Wählen Sie Speichern aus.

Erteilen von Berechtigungen

Wenn Sie über eine Anwendung eine geschützte Web-API aufrufen möchten, müssen Sie Ihrer Anwendung Berechtigungen für die API erteilen. Unter Tutorial: Registrieren einer Anwendung in Azure Active Directory B2C wird z. B. eine Webanwendung mit dem Namen webapp1 in Azure AD B2C registriert. Sie können diese Anwendung für den Aufruf der Web-API verwenden.

App-Registrierungen

1. Wählen Sie App-Registrierungen aus, und wählen Sie dann die Webanwendung aus, die Zugriff auf die API haben soll. Beispiel: webapp1.
2. Wählen Sie unter Verwalten die Option API-Berechtigungen.
3. Wählen Sie unter Konfigurierte Berechtigungen die Option Berechtigung hinzufügen aus.
4. Wählen Sie die Registerkarte Meine APIs aus.
5. Wählen Sie die API aus, für die der Webanwendung Zugriff gewährt werden soll. Beispiel: webapi1.
6. Erweitern Sie unter Berechtigung den Eintrag Demo, und wählen Sie dann die zuvor definierten Bereiche aus. Beispiel: demo.read und demo.write
7. Wählen Sie Berechtigungen hinzufügen aus.
8. Wählen Sie Administratorzustimmung für (Name Ihres Mandanten) erteilen aus.
9. Wenn Sie zur Auswahl eines Kontos aufgefordert werden, wählen Sie das derzeit angemeldete Administratorkonto aus, oder melden Sie sich mit einem Konto bei Ihrem Azure AD B2C-Mandanten an, dem mindestens die Rolle Cloudanwendungsadministrator zugewiesen wurde.
10. Wählen Sie Ja aus.
11. Wählen Sie Aktualisieren aus, und vergewissern Sie sich, dass für beide Bereiche unter Status der Status „Gewährt für...“ angezeigt wird.

Anwendungen (Legacy)

1. Wählen Sie Anwendungen (Legacy) aus, und wählen Sie dann die Webanwendung aus, die Zugriff auf die API haben soll. Beispiel: webapp1.
2. Wählen Sie API-Zugriff und dann Hinzufügen aus.
3. Wählen Sie in der Dropdownliste API auswählen die API aus, für die der Webanwendung Zugriff gewährt werden soll. Beispiel: webapi1.
4. Wählen Sie in der Dropdownliste Bereiche auswählen die Bereiche aus, die Sie zuvor definiert haben. Beispiel: demo.read und demo.write
5. Klicken Sie auf OK.

Ihre Anwendung ist für den Aufruf der geschützten Web-API registriert. Ein Benutzer authentifiziert sich mit Azure AD B2C, um die Anwendung zu verwenden. Die Anwendung bezieht eine Autorisierungsgewährung von Azure AD B2C, um auf die geschützte Web-API zuzugreifen.