Escenario: API web protegida

En este escenario, aprenderá a exponer una API web. También aprenderá a proteger la API web para que solo los usuarios autenticados puedan tener acceso a ella.

Para usar la API web, habilite usuarios autenticados con cuentas profesionales y educativas, o bien habilite cuentas personales de Microsoft.

Características específicas

Esta es la información específica que necesita saber para proteger las API web:

  • El registro de la aplicación debe exponer al menos un ámbito o un rol de aplicación.
    • Los ámbitos se exponen mediante API web a las que se llama en nombre de un usuario.
    • Los roles de aplicación se exponen mediante API web a las que llaman aplicaciones de demonio (que llaman a la API web en nombre propio).
  • Si crea un registro de aplicación de API web, elija la versión del token de acceso aceptada por la API web para 2. En el caso de API web heredadas, la versión del token aceptada puede ser null, pero este valor restringe el público que inicia sesión a solo las organizaciones y no se admiten cuentas Microsoft (MSA) personales.
  • La configuración de código de la API web debe validar el token usado cuando se llama a la API web.
  • El código de las acciones de controlador debe validar los roles o ámbitos del token.

Si no está familiarizado con la administración de identidades y acceso (IAM) con OAuth 2.0 y OpenID Connect, o incluso si es nuevo en IAM en la plataforma de identidad de Microsoft, debe dar máxima prioridad a leer los siguientes artículos.

Aunque su lectura no es necesaria antes de completar el primer inicio rápido o tutorial, se tratan temas fundamentales para la plataforma, y estar familiarizado con ellos le ayudará a medida que crea escenarios más complejos.

Pasos siguientes

Avance al siguiente artículo de este escenario, Registro de la aplicación.