Préparer le locataire externe à appeler une API dans une application web Node.js

Dans cet article, vous préparez votre locataire externe pour l’autorisation. Cet article est la première partie d’un guide en quatre parties.

Prérequis

• Suivez les étapes de Tutoriel : Préparer votre locataire externe pour connecter des utilisateurs dans une application web Node.js. Une fois ce tutoriel terminé, vous inscrivez une application dans le locataire de votre client et vous disposez d’une application web qui connecte des utilisateurs. Nous faisons référence à cette application web en tant qu’application cliente. Vous étendez cette application pour appeler une API web protégée.

• Suivez les étapes décrites dans Tutoriel : Sécuriser une API web ASP.NET inscrite dans un locataire externe. Une fois ce didacticiel terminé, vous inscrivez une API web dans le locataire de votre client, qui expose les autorisations d’API et publie des rôles d’application. Vous disposez également d’une API web sécurisée. Vous appelez cette API web à partir de l’application web cliente.

Configurer la revendication de jeton idtyp [facultatif]

Les jetons renvoyés par l'identité Microsoft sont plus petits pour garantir des performances optimales aux clients qui les demandent. Par conséquent, plusieurs réclamations ne sont plus présentes dans le jeton par défaut et doivent être demandées spécifiquement pour chaque application. Pour cette application, vous incluez la revendication facultative idtyp pour aider l’API web à déterminer s’il s’agit d’un jeton d’application ou d’un jeton d’application+utilisateur. Même si vous pouvez utiliser une combinaison de revendications scp et roles dans le même but, l’utilisation de la revendication idtyp est le moyen le plus simple de distinguer un jeton d’application d’un jeton d’application+utilisateur. Par exemple, la valeur de cette revendication est app lorsque le jeton est un jeton d'application uniquement.

Utilisez les étapes suivantes pour configurer la revendication facultative idtyp :

1. À partir de la page Inscriptions d’applications, pour laquelle vous voulez configurer une revendication facultative, comme ciam-client-app, ouvrez sa page Vue d’ensemble.

2. Dans Gérer, sélectionnez Configuration de jetons.

3. Sélectionnez Ajouter une revendication facultative.

4. Sous Type de jeton, choisissez Accès.

5. Sélectionnez l’idtyp de revendication facultatif.

6. Sélectionnez Ajouter pour enregistrer vos changements.

Accorder des autorisations d’API à l’application web

À partir des prérequis, vous avez inscrit une application cliente dans le locataire de votre client. Vous avez également inscrit une application API web dans vos clients. À présent, vous devez accorder des autorisations d’API à votre application cliente :

1. Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Autorisations de l’API.

3. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

4. Sélectionnez l’onglet API utilisées par mon organisation.

5. Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.

6. Sélectionnez l’option Autorisations déléguées.

7. Dans la liste des autorisations, sélectionnez ToDoList.Read, ToDoList.ReadWrite (utilisez la zone de recherche si nécessaire).

8. Sélectionnez le bouton Ajouter des autorisations.

9. À ce stade, vous avez attribué les autorisations correctement. Toutefois, comme le locataire est celui d’un client, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à ces autorisations. Pour résoudre ceci, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :

   1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.

   2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux autorisations.

10. Dans la liste Autorisations configurées, sélectionnez les autorisations ToDoList.Read et ToDoList.ReadWrite, une par une, puis copiez l’URI complet de l’autorisation pour l’utiliser ultérieurement. L’URI d’autorisation complet ressemble à api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.

Étape suivante

À présent, découvrez comment préparer votre application web et votre API.

Commencez à générer votre application web et votre API