Rövid útmutató: Ügyfélalkalmazás konfigurálása webes API eléréséhez
Ebben a rövid útmutatóban a Microsoft-identitásplatformon regisztrált ügyfélalkalmazásnak megadott hatókörre vonatkozó és engedélyeken alapuló hozzáférést ad az Ön saját webes API-jához. A Microsoft Graphhoz is hozzáférést biztosít az ügyfélalkalmazásnak.
Ha megadja egy webes API hatóköreit az ügyfélalkalmazás regisztrációjában, az ügyfélalkalmazás beszerezheti a hatóköröket tartalmazó hozzáférési jogkivonatot a Microsoft Identitásplatform. A webes API a kódján belül engedélyalapú hozzáférést biztosíthat az erőforrásaihoz a hozzáférési jogkivonatban található hatókörök alapján.
Előfeltételek
- Aktív előfizetéssel rendelkező Azure-fiók – fiók létrehozása ingyenesen
- Rövid útmutató befejezése: Alkalmazás regisztrálása
- A rövid útmutató befejezése: Alkalmazás konfigurálása webes API-k közzétételéhez
Engedélyek hozzáadása a webes API eléréséhez
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Az API-khoz való hozzáféréshez hozzáférési hatókörök és szerepkörök konfigurálása szükséges. Ha el szeretné helyezni az erőforrásalkalmazás webes API-jait az ügyfélalkalmazások számára, konfigurálja az API hozzáférési hatóköreit és szerepköreit. Ha azt szeretné, hogy egy ügyfélalkalmazás hozzáférjen egy webes API-hoz, konfiguráljon engedélyeket az API-hoz való hozzáféréshez az alkalmazásregisztrációban.
Az első forgatókönyvben hozzáférést ad egy ügyfélalkalmazásnak a saját webes API-hoz, amelynek mindkettőt regisztrálnia kellett volna az előfeltételek részeként. Ha még nem rendelkezik ügyfélalkalmazással és webes API-val, végezze el a lépéseket a két előfeltételekről szóló cikkben.
Ez az ábra bemutatja, hogyan kapcsolódik egymáshoz a két alkalmazásregisztráció. Ebben a szakaszban engedélyeket ad hozzá az ügyfélalkalmazás regisztrációhoz.
Miután regisztrálta az ügyfélalkalmazást és a webes API-t is, és hatókörök létrehozásával tette közzé az API-t, az alábbi lépések végrehajtásával konfigurálhatja az ügyfél engedélyeit az API-hoz:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Ha több bérlőhöz is hozzáfér, a felső menüben található Gépház ikonnal
válthat arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást (nem a webes API-t).
Válassza az API-engedélyeket>: Engedély>hozzáadása Saját API-k.
Válassza ki az előfeltételek részeként regisztrált webes API-t.
A delegált engedélyek alapértelmezés szerint ki lesznek választva. A delegált engedélyek olyan ügyfélalkalmazások számára megfelelőek, amelyek bejelentkezett felhasználóként férnek hozzá a webes API-hoz, és akiknek a hozzáférését a következő lépésben kiválasztott engedélyekre kell korlátozni. Hagyja kijelölve a példában kijelölt delegált engedélyeket .
Az alkalmazásengedélyek olyan szolgáltatás- vagy démon típusú alkalmazásokhoz tartoznak, amelyeknek saját maguknak kell hozzáférniük egy webes API-hoz anélkül, hogy felhasználói beavatkozást kellene használniuk a bejelentkezéshez vagy a hozzájáruláshoz. Ha nem definiált alkalmazásszerepköröket a webes API-hoz, ez a beállítás le van tiltva.
Az Engedélyek kiválasztása csoportban bontsa ki azt az erőforrást, amelynek hatóköreit a webes API-hoz definiálta, és válassza ki azokat az engedélyeket, amelyeket az ügyfélalkalmazásnak rendelkeznie kell a bejelentkezett felhasználó nevében.
Ha az előző rövid útmutatóban megadott példahatókör-neveket használta, az Employees.Read.All és az Employees.Write.All nevet kell látnia. Válassza az Employees.Read.All vagy más, az előfeltételek teljesítésekor létrehozott engedélyt.
Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.
Miután hozzáadta az engedélyeket az API-hoz, a kiválasztott engedélyeknek a Konfigurált engedélyek területen kell megjelennie. Az alábbi képen az Employees.Read.All delegált engedély látható, amely hozzá van adva az ügyfélalkalmazás regisztrációhoz.
A Microsoft Graph API User.Read engedélyét is megfigyelheti. Ez az engedély automatikusan hozzáadódik, amikor regisztrál egy alkalmazást az Azure Portalon.
A Microsoft Graph eléréséhez szükséges engedélyek megadása
A bejelentkezett felhasználó nevében a saját webes API-hoz való hozzáférés mellett előfordulhat, hogy az alkalmazásnak hozzá kell férnie vagy módosítania kell a felhasználó Microsoft Graph-ban tárolt (vagy egyéb) adatait. Vagy rendelkezhet olyan szolgáltatással vagy démonalkalmazással, amely önmagában is hozzá kell férnie a Microsoft Graphhoz, és felhasználói beavatkozás nélkül hajt végre műveleteket.
Delegált engedély a Microsoft Graph számára
Konfiguráljon delegált engedélyt a Microsoft Graph számára, hogy az ügyfélalkalmazás műveleteket hajtson végre a bejelentkezett felhasználó nevében, például elolvassa az e-mail-címét, vagy módosítsa a profilját. Alapértelmezés szerint az ügyfélalkalmazás felhasználóit a rendszer arra kéri, hogy jelentkezzenek be, hogy hozzájáruljanak az Ön által konfigurált delegált engedélyekhez.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Ha több bérlőhöz is hozzáfér, a felső menüben található Gépház ikonnal
válthat arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást.
API-engedélyek>kiválasztása Engedély>hozzáadása Microsoft Graph
Válassza a Delegált engedélyek lehetőséget. A Microsoft Graph számos engedélyt tesz elérhetővé, és a leggyakrabban használt engedélyek a lista tetején jelennek meg.
Az Engedélyek kiválasztása csoportban válassza ki a következő engedélyeket:
Permission Leírás emailFelhasználók e-mail-címének megtekintése offline_accessAdathozzáférés fenntartása, amelyhez engedélyt adott openidFelhasználók bejelentkezése profileFelhasználók alapprofiljának megtekintése Válassza az Engedélyek hozzáadása lehetőséget a folyamat befejezéséhez.
Amikor engedélyeket konfigurál, az alkalmazás felhasználóit a rendszer a bejelentkezéskor arra kéri, hogy engedélyezze az alkalmazás számára az erőforrás API-hoz való hozzáférést a nevükben.
Rendszergazdaként az összes felhasználó nevében is adhat hozzájárulást, így a rendszer nem kéri őket erre. Rendszergazda hozzájárulásról aTovábbi információ a jelen cikk API-engedélyekkel és rendszergazdai hozzájárulásokkal foglalkozó szakaszáról.
Alkalmazásengedély a Microsoft Graphhoz
Konfiguráljon alkalmazásengedélyeket olyan alkalmazásokhoz, amelyeknek felhasználói beavatkozás vagy hozzájárulás nélkül kell hitelesíteni magukat. Az alkalmazásengedélyeket általában háttérszolgáltatások vagy démonalkalmazások használják, amelyek "fej nélküli" módon férnek hozzá egy API-hoz, valamint egy másik (lefelé irányuló) API-t elérő webes API-k.
A következő lépésekben például engedélyt ad a Microsoft Graph Files.Read.All engedélyének.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Ha több bérlőhöz is hozzáfér, a felső menüben található Gépház ikonnal
válthat arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az ügyfélalkalmazást.
API-engedélyek kiválasztása Engedély hozzáadása Microsoft Graph-alkalmazásengedélyek> hozzáadása.>>
A Microsoft Graph által közzétett összes engedély a Kiválasztás engedélyek területen jelenik meg.
Válassza ki az alkalmazásnak adni kívánt engedélyt vagy engedélyeket. Előfordulhat például, hogy rendelkezik egy démonalkalmazással, amely a szervezet fájljait vizsgálja, és egy adott fájltípusra vagy névre riasztást küld.
Az Engedélyek kiválasztása csoportban bontsa ki a Fájlok elemet, majd válassza a Files.Read.All engedélyt.
Jelölje be az Engedélyek hozzáadása lehetőséget.
Bizonyos engedélyekhez, például a Microsoft Graph Files.Read.All engedélyéhez rendszergazdai hozzájárulásra van szükség. A rendszergazdai hozzájárulás megadásához válassza a rendszergazdai hozzájárulás megadására szolgáló gombot, amelyről a Rendszergazda hozzájárulási gomb szakasz későbbi részében olvashat.
Ügyfél hitelesítő adatainak konfigurálása
Az alkalmazásengedélyeket használó alkalmazások saját hitelesítő adataikkal hitelesítik magukat, felhasználói beavatkozás nélkül. Ahhoz, hogy az alkalmazás (vagy API) hozzáférhessen a Microsoft Graphhoz, a saját webes API-hoz vagy egy másik API-hoz alkalmazásengedélyek használatával, konfigurálnia kell az ügyfélalkalmazás hitelesítő adatait.
Az alkalmazás hitelesítő adatainak konfigurálásáról további információt a Gyorsútmutató hitelesítő adatok hozzáadása szakaszában talál: Alkalmazás regisztrálása a Microsoft Identitásplatform.
További információ az API-engedélyekről és a rendszergazdai hozzájárulásról
Az alkalmazásregisztráció API-engedélypanelje egy Konfigurált engedélytáblát tartalmaz, és tartalmazhat egy Egyéb engedélyekkel rendelkező táblát is. A táblákat és a Rendszergazda hozzájárulás gombot a következő szakaszok ismertetik.
Konfigurált engedélyek
Az API-engedélyek panel Konfigurált engedélyek táblája megjeleníti azokat az engedélyeket, amelyekre az alkalmazásnak szüksége van az alapművelethez – a szükséges erőforrás-hozzáférési (RRA- ) listára. A felhasználóknak vagy rendszergazdáiknak hozzá kell adniuk ezeket az engedélyeket az alkalmazás használata előtt. Egyéb, választható engedélyek később, futásidőben kérhetők (dinamikus hozzájárulással).
Ez azoknak az engedélyeknek a minimális listája, amelyekhez a felhasználóknak hozzá kell majd adniuk az alkalmazáshoz való hozzájárulást. Több is lehet, de ezekre mindig szükség lesz. A biztonság érdekében és annak érdekében, hogy a felhasználók és a rendszergazdák kényelmesebben használják az alkalmazást, soha ne kérjen semmit, amire nincs szüksége.
A táblázatban megjelenő engedélyeket a fenti lépések vagy a megadott egyéb engedélyek (a következő szakaszban ismertetett) segítségével adhatja hozzá vagy távolíthatja el. Rendszergazdaként rendszergazdai hozzájárulást adhat a táblában megjelenő API-engedélyek teljes készletéhez, és visszavonhatja az egyes engedélyekhez való hozzájárulást.
Egyéb megadott engedélyek
Az API-engedélyek panelen a(z) {a bérlő} számára megadott egyéb engedélyek című táblázat is megjelenhet. A (z) {a bérlő} táblához megadott Egyéb engedélyek az alkalmazásobjektumon nem explicit módon konfigurált bérlői szintű engedélyeket jelenítik meg. Ezeket az engedélyeket egy rendszergazda dinamikusan kérte és engedélyezte az összes felhasználó nevében. Ez a szakasz csak akkor jelenik meg, ha legalább egy engedély érvényes.
Hozzáadhatja egy API engedélyeinek teljes készletét vagy a táblázatot tartalmazó egyéni engedélyeket a Konfigurált engedélyek táblához. Rendszergazdaként visszavonhatja a rendszergazdai hozzájárulást az API-khoz vagy az egyes engedélyekhez ebben a szakaszban.
Rendszergazda hozzájárulás gomb
A (z) {a bérlő} rendszergazdai hozzájárulásának megadása gomb lehetővé teszi, hogy a rendszergazda hozzájáruljon az alkalmazáshoz konfigurált engedélyekhez. Amikor kiválasztja a gombot, megjelenik egy párbeszédpanel, amely a hozzájárulási művelet megerősítését kéri.
A hozzájárulás megadása után a rendszergazdai hozzájáruláshoz szükséges engedélyek a hozzájárulás megadását követően jelennek meg:
A Rendszergazdai hozzájárulás megadása gomb le van tiltva , ha Ön nem rendszergazda, vagy ha nincs konfigurálva engedély az alkalmazáshoz. Ha rendelkezik megadott, de még nem konfigurált engedélyekkel, a Rendszergazdai jóváhagyás gombra kattintva felszólítást kap ezen engedélyek kezelésére. Az engedélyeket hozzáadhatja a konfigurált engedélyekhez, vagy eltávolíthatja őket.
További lépések
A sorozat következő rövid útmutatójában megtudhatja, hogyan konfigurálhatja, hogy mely fióktípusok férhetnek hozzá az alkalmazáshoz. Előfordulhat például, hogy csak a szervezet (egybérlős) felhasználói számára szeretné korlátozni a hozzáférést, vagy engedélyezni szeretné a többi Microsoft Entra-bérlő (több-bérlős) és a személyes Microsoft-fiókkal (MSA) rendelkező felhasználók számára.