Rövid útmutató: Ügyfélalkalmazás konfigurálása webes API-k elérésére

Ebben a rövid útmutatóban a Microsoft-identitásplatformon regisztrált ügyfélalkalmazásnak megadott hatókörre vonatkozó és engedélyeken alapuló hozzáférést ad az Ön saját webes API-jához. A Microsoft Graphhoz is hozzáférést biztosít az ügyfélalkalmazásnak.

Ha webes API-hatóköreket ad meg az ügyfélalkalmazás regisztrációja során, az ügyfélalkalmazás beszerezhet egy hozzáférési jogkivonatot, amely tartalmazza ezeket a hatókörök Microsoft Identitásplatform. A kódon belül a webes API engedélyalapú hozzáférést nyújthat az erőforrásaihoz a hozzáférési jogkivonatban található hatókörök alapján.

Előfeltételek

Engedélyek hozzáadása a webes API eléréséhez

Az első forgatókönyvben hozzáférést ad egy ügyfélalkalmazásnak a saját webes API-jának, amelynek mindkettőt regisztrálnia kell az előfeltételek részeként. Ha még nem regisztrált ügyfélalkalmazást és webes API-t is, kövesse az Előfeltételek két cikk lépéseit.

Ez az ábra bemutatja, hogyan kapcsolódnak 2 alkalmazásregisztráció 2-hez. Ebben a szakaszban engedélyeket ad hozzá az ügyfélalkalmazás regisztrációhoz.

Vonaldiagram, amely egy webes API-t ábrázol, jobb oldalon elérhető hatókörekkel, a bal oldalon pedig egy ügyfélalkalmazással, amelynél ezek a hatókörök vannak engedélyként kijelölve

Miután regisztrálta az ügyfélalkalmazást és a webes API-t, és hatókörök létrehozásával elérhetővé teszi az API-t, az alábbi lépésekkel konfigurálhatja az ügyfél API-engedélyeit:

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz rendelkezik hozzáféréssel, a felső menü Címtár és előfizetés szűrője segítségével válassza ki az ügyfélalkalmazás regisztrációját tartalmazó bérlőt.

  3. Válassza Azure Active Directory > Alkalmazásregisztrációk lehetőséget, majd válassza ki az ügyfélalkalmazást (nem a webes API-t).

  4. Válassza az API-engedélyek > Engedélyek hozzáadása Saját > API-k lehetőséget.

  5. Válassza ki az előfeltételek részeként regisztrált webes API-t.

    Alapértelmezés szerint a Delegált engedélyek van kiválasztva. A delegált engedélyek olyan ügyfélalkalmazások számára megfelelőek, amelyek bejelentkezett felhasználóként férnek hozzá egy webes API-hoz, és amelyek hozzáférését a következő lépésben kiválasztott engedélyekre kell korlátozni. Ebben a példában hagyja bejelölve a Delegált engedélyek beállítást.

    Az alkalmazásengedélyek olyan szolgáltatás- vagy démon típusú alkalmazásokhoz használhatók, amelyeknek maguknak kell hozzáférniük egy webes API-hoz anélkül, hogy felhasználói beavatkozást kellene használniuk a bejelentkezéshez vagy a hozzájáruláshoz. Ha nem definiált alkalmazásszerepk szerepköröket a webes API-hoz, ez a beállítás le van tiltva.

  6. Az Engedélyek kiválasztása alatt bontsa ki azt az erőforrást, amelynek a hatókörét a webes API-hoz definiálta, majd válassza ki azokat az engedélyeket, amelyekhez az ügyfélalkalmazásnak rendelkeznie kell a bejelentkezett felhasználó nevében.

    Ha az előző rövid útmutatóban megadott példahatókör-neveket használta, akkor az Employees.Read.All és az Employees.Write.All értéknek kell jelen lennie. Válassza az Employees.Read.All lehetőséget, vagy egy másik engedélyt, amely az előfeltételek teljesítéséhez esetleg létre lett hozva.

  7. A folyamat befejezéséhez válassza az Engedélyek hozzáadása lehetőséget.

Miután engedélyeket adott az API-hoz, a Konfigurált engedélyek alatt meg kell majd lennie a kiválasztott engedélyeknek. Az alábbi képen az Employees.Read.All delegált engedély látható, amely hozzá van adva az ügyfélalkalmazás regisztrációhoz.

Konfigurált engedélyek panel a Azure Portal az újonnan hozzáadott engedélyekkel

Észreveheti a Microsoft Graph API User.Read engedélyét is. Ezt az engedélyt a rendszer automatikusan hozzáadja, amikor regisztrál egy alkalmazást a Azure Portal.

Engedélyek hozzáadása a Microsoft-Graph

Amellett, hogy a bejelentkezett felhasználó nevében hozzá kell férni a saját webes API-jához, előfordulhat, hogy az alkalmazásnak a Microsoft-fiókban tárolt felhasználói (vagy egyéb) adatokat is el kell Graph. Az is előfordulhat, hogy olyan szolgáltatás- vagy démonalkalmazással rendelkezik, amely saját magaként Graph microsoftos alkalmazásokat, és felhasználói beavatkozás nélkül hajt végre műveleteket.

Delegált engedély a Microsoft Graph

Konfigurálja a Microsoft Graph delegált engedélyét, hogy az ügyfélalkalmazás műveleteket hajthat végre a bejelentkezett felhasználó nevében, például elolvassa az e-mailjeit, vagy módosítsa a profilját. Alapértelmezés szerint az ügyfélalkalmazás felhasználóit a rendszer arra kéri, hogy jelentkezzenek be, és járulnak hozzá az Ön által konfigurált delegált engedélyekhez.

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz rendelkezik hozzáféréssel, a felső menü Címtár és előfizetés szűrője segítségével válassza ki az ügyfélalkalmazás regisztrációját tartalmazó bérlőt.

  3. Válassza Azure Active Directory > Alkalmazásregisztrációk lehetőséget, majd válassza ki az ügyfélalkalmazást.

  4. Válassza az API-engedélyek > Engedély hozzáadása > Microsoft-Graph

  5. Válassza a Delegált engedélyek lehetőséget. A Microsoft Graph több engedélyt is elérhetővé teszi, amelyek közül a leggyakrabban használt jelenik meg a lista tetején.

  6. Az Engedélyek kiválasztása alatt válassza ki a következő engedélyeket:

    Engedély Description
    email Felhasználók e-mail-címének megtekintése
    offline_access Hozzáférés fenntartása az adatokhoz, amelyekhez hozzáférést adott neki
    openid A felhasználók beléptetése
    profile A felhasználók alapszintű profiljának megtekintése
  7. A folyamat befejezéséhez válassza az Engedélyek hozzáadása lehetőséget.

Az engedélyek konfigurálásakor az alkalmazás felhasználóinak a bejelentkező felhasználóknak meg kell adniuk a hozzájárulásukat, hogy engedélyezték az alkalmazás számára az erőforrás API-hoz való hozzáférést a nevükben.

Rendszergazdaként a jóváhagyást az összes felhasználó nevében is meg lehet adni, hogy a rendszer ne kérje őket. A rendszergazdai jóváhagyásról a cikk További információk az API-engedélyekről és a rendszergazdai jóváhagyásról című szakaszában lesz szó.

Alkalmazásengedély a Microsoft Graph

Konfigurálja az alkalmazásengedélyeket egy olyan alkalmazáshoz, amely felhasználói beavatkozás vagy hozzájárulás nélkül hitelesíti magát. Az alkalmazásengedélyeket általában olyan háttérszolgáltatások vagy démonalkalmazások használják, amelyek "fej nélküli" módon férnek hozzá az API-khoz, valamint a más (lefelé irányuló) API-khoz hozzáférő webes API-k.

A következő lépésekben jogosultságot ad a Microsoft Graph Files.Read.All engedélyének.

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz rendelkezik hozzáféréssel, a felső menü Címtár és előfizetés szűrője segítségével válassza ki az ügyfélalkalmazás regisztrációját tartalmazó bérlőt.

  3. Válassza Azure Active Directory > Alkalmazásregisztrációk lehetőséget, majd válassza ki az ügyfélalkalmazást.

  4. Válassza az API-engedélyek > Microsoft-engedély hozzáadása Graph > > Alkalmazásengedélyek lehetőséget.

  5. A Microsoft által közzétett Graph az Engedélyek kiválasztása alatt jelennek meg.

  6. Válassza ki azt az engedélyt vagy engedélyeket, amelyek számára az alkalmazást meg szeretné adni. Előfordulhat például, hogy van egy démonalkalmazása, amely átvizsgálja a szervezetben lévő fájlokat, és riasztást küld egy adott fájltípusról vagy névről.

    Az Engedélyek kiválasztása alatt bontsa ki a Fájlok et, majd válassza a Files.Read.All engedélyt.

  7. Válassza az Engedélyek hozzáadása lehetőséget.

Egyes engedélyekhez, például a Microsoft Graph Files.Read.All engedélyéhez rendszergazdai jóváhagyás szükséges. A rendszergazdai jóváhagyás megadásához válassza a Rendszergazdai hozzájárulás megadása gombot, amelyről később, a Rendszergazdai jóváhagyás gomb szakaszban lesz szó.

Ügyfél hitelesítő adatainak konfigurálása

Az alkalmazásengedélyeket használó alkalmazások saját hitelesítő adataik használatával, felhasználói beavatkozás nélkül hitelesítik magukat. Ahhoz, hogy az alkalmazás (vagy API) alkalmazásengedélyek használatával hozzáférjen a Microsoft Graph-hoz, a saját webes API-jához vagy más API-hoz, konfigurálnia kell az ügyfélalkalmazás hitelesítő adatait.

Az alkalmazás hitelesítő adatainak konfigurálásával kapcsolatos további információkért lásd a Rövid útmutató:Alkalmazás regisztrálása a következővel: Microsoft Identitásplatform.

Az alkalmazásregisztráció API-engedélyek panele tartalmaz egy Konfigurált engedélyek táblát, és tartalmazhat egy Egyéb engedélyekkel rendelkező táblát is. A következő szakaszok a táblákat és a rendszergazdai jóváhagyás gombot is ismertetik.

Konfigurált engedélyek

Az API-engedélyek panel Konfigurált engedélyek táblázata megjeleníti azon engedélyek listáját, amelyekre az alkalmazásnak szüksége van az alapszintű művelethez – a szükséges erőforrás-hozzáférési (RRA) listához. Az alkalmazás használata előtt a felhasználóknak vagy a rendszergazdáiknak bele kell egyeni ezekbe az engedélyekbe. Egyéb, választható engedélyek később is kérhetőek futásidőben (dinamikus hozzájárulással).

Ez azon engedélyek minimális listája, amelyekhez a személyeknek jóváhagyást kell adni az alkalmazáshoz. Több is lehet, de ezekre mindig szükség lesz. A biztonság érdekében, valamint annak érdekében, hogy a felhasználók és a rendszergazdák kényelmesebben használják az alkalmazást, soha ne kérdezzenek semmit, amire nincs szüksége.

A táblázatban megjelenő engedélyeket a fent ismertetett lépésekkel vagy az Egyéb megadott engedélyek területen (a következő szakaszban leírtak szerint) használhatja. Rendszergazdaként rendszergazdai jóváhagyást adhat a táblázatban megjelenő API-engedélyek teljes készletére, és visszavonhatja az egyéni engedélyekre vonatkozó jóváhagyást.

Egyéb megadott engedélyek

Az API-engedélyek panelen a {bérlő} számára megadott egyéb engedélyek című táblázatot is láthatja. A(z) {bérlő} táblához megadott Egyéb engedélyek táblázat azokat a bérlői szintű engedélyeket jeleníti meg, amelyek nincsenek explicit módon konfigurálva az alkalmazásobjektumon. Ezeket az engedélyeket egy rendszergazda dinamikusan kérte és adta hozzá az összes felhasználó nevében. Ez a szakasz csak akkor jelenik meg, ha van legalább egy érvényes engedély.

Az API-k engedélyeinek teljes készletét vagy a táblázatban megjelenő egyéni engedélyeket hozzáadhatja a Konfigurált engedélyek táblázathoz. Rendszergazdaként visszavonhatja az API-kra vagy egyéni engedélyekre vonatkozó rendszergazdai jóváhagyást ebben a szakaszban.

A Rendszergazdai jóváhagyás megadása {a bérlőhöz} gomb lehetővé teszi a rendszergazda számára, hogy rendszergazdai jóváhagyást adjon az alkalmazáshoz konfigurált engedélyekhez. A gomb kiválasztásakor megjelenik egy párbeszédpanel, amely a hozzájárulási művelet megerősítését kéri.

Rendszergazdai jóváhagyás megadása gomb kiemelve a Konfigurált engedélyek panelen a Azure Portal

A hozzájárulás megadása után a rendszergazdai jóváhagyást megkövetelő engedélyek hozzájárulásként jelennek meg:

Az engedélyek táblázatának konfigurálása a Azure Portal a Files.Read.All engedélyre vonatkozó rendszergazdai jóváhagyással

A Rendszergazdai jóváhagyás megadása gomb le van tiltva, ha Ön nem rendszergazda, vagy ha nincs konfigurálva engedély az alkalmazáshoz. Ha rendelkezik megadott, de még nem konfigurált engedélyekkel, a Rendszergazdai jóváhagyás gombra kattintva felszólítást kap ezen engedélyek kezelésére. Az engedélyeket hozzáadhatja a konfigurált engedélyekhez, vagy eltávolíthatja őket.

Következő lépések

A sorozat következő rövid útmutatója azt is bemutatja, hogyan konfigurálhatja, hogy mely fióktípusok férhetnek hozzá az alkalmazáshoz. Előfordulhat például, hogy csak a szervezetben (egybérlős) felhasználókra szeretné korlátozni a hozzáférést, vagy engedélyezni szeretné a más Azure AD-bérlők (több-bérlős) és a személyes Microsoft-fiókkal (MSA) rendelkező felhasználók hozzáférését.