Rövid útmutató: Alkalmazás konfigurálása webes API-k elérhetővé való beállításához

Ebben a rövid útmutatóban a Microsoft-identitásplatform használatával regisztrál egy webes API-t, és egy példahatókör megadásával elérhetővé teszi az ügyfélalkalmazások számára. A webes API regisztrálása és hatókörökben való felfedése révén engedélyalapú hozzáférést nyújthat az erőforrásaihoz az API-t elfelhasználó jogosult felhasználóknak és ügyfélalkalmazások számára.

Előfeltételek

A webes API regisztrálása

Ahhoz, hogy hatókörrel bíró hozzáférést biztosítson a webes API-ban található erőforrásokhoz, először regisztrálnia kell az API-t a Microsoft Identitásplatform.

  1. Hajtsa végre a rövid útmutató Alkalmazás regisztrálása szakaszában található lépéseket: Alkalmazás regisztrálása a Microsoft Identitásplatform.
  2. Hagyja ki az Átirányítási URI hozzáadása és a Platformbeállítások konfigurálása szakaszt. Nem kell konfigurálnia egy átirányítási URI-t egy webes API-hoz, mivel nincs interaktívan bejelentkezett felhasználó.
  3. Most hagyja ki a Hitelesítő adatok hozzáadása szakaszt. A cikkben nem szereplő forgatókönyvben csak akkor van szükség saját hitelesítő adatokra, ha az API hozzáfér egy lefelé irányuló API-hoz.

Most, hogy regisztrálta a webes API-t, felveheti a hatókörök körét, amelyek használatával az API kódja részletes engedélyeket adhat az API felhasználóinak.

Hatókör hozzáadása

Az ügyfélalkalmazásban található kód engedélyt kér a webes API által meghatározott műveletek végrehajtásához egy hozzáférési jogkivonat és a védett erőforrásnak (a webes API-nak) való átadásával. A webes API ezután csak akkor végzi el a kért műveletet, ha a kapott hozzáférési jogkivonat tartalmazza a művelethez szükséges hatókört.

Először kövesse az alábbi lépéseket egy nevű példahatókör Employees.Read.All létrehozásához:

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz rendelkezik hozzáféréssel, a felső menü Címtár és előfizetés szűrője segítségével válassza ki az ügyfélalkalmazás regisztrációját tartalmazó bérlőt.

  3. Válassza Azure Active Directory > Alkalmazásregisztrációk lehetőséget, majd válassza ki az API alkalmazásregisztrációját.

  4. Válassza az API-k elérhetővé > tevése Hatókör hozzáadása lehetőséget.

    Az alkalmazásregisztrációk API-k megjelenítése panele a Azure Portal

  5. Ha még nem konfigurált alkalmazásazonosító URI-t, a rendszer felszólítja, hogy állítson be egy alkalmazásazonosító URI-t.

    Az alkalmazásazonosító URI az API-kódban hivatkozni fog hatókörök előtagjaként szolgál, és globálisan egyedinek kell lennie. Használhatja a megadott alapértelmezett értéket, amely a következő formában található: , vagy megadhat egy olvashatóbb api://<application-client-id> URI-t, https://contoso.com/api például: .

    Az érvényes alkalmazásazonosító URI-mintákkal kapcsolatos további információk az Azure AD-alkalmazásjegyzék-referenciaban érhetők el.

  6. Ezután adja meg a hatókör attribútumát a Hatókör hozzáadása panelen. Ebben az áttűnőben használhatja a példaértékeket, vagy saját értékeket is megadhat.

    Mező Leírás Példa
    Hatókör neve A hatókör neve. Gyakori hatókörelnevezési konvenció a resource.operation.constraint . Employees.Read.All
    Ki adhat hozzájárulást? Azt határozza meg, hogy ezt a hatókört meg lehet-e adni a felhasználóknak, vagy rendszergazdai jóváhagyásra van szükség. Magasabb jogosultsági szintű engedélyeknél válassza a Csak rendszergazdák lehetőséget. Rendszergazdák és felhasználók
    Rendszergazdai hozzájárulás megjelenítendő neve A hatókör céljának rövid leírása, amely csak a rendszergazdák számára lesz látható. Read-only access to Employee records
    Rendszergazdai jóváhagyás leírása A hatókör által biztosított engedély részletesebb leírása, amelyet csak a rendszergazdák láthatnak. Allow the application to have read-only access to all Employee data.
    Felhasználói jóváhagyás megjelenítendő neve A hatókör céljának rövid leírása. Csak akkor jelenik meg a felhasználók számára, ha Who a rendszergazdák és a felhasználók számára. Read-only access to your Employee records
    Felhasználói jóváhagyás leírása A hatókör által biztosított engedély részletesebb leírása. Csak akkor jelenik meg a felhasználók számára, ha Who a rendszergazdák és a felhasználók számára. Allow the application to have read-only access to your Employee data.
  7. Állítsa a State (Állapot) beállítást Enabled (Engedélyezve) állapotra, majd válassza a Add scope (Hatókör hozzáadása) lehetőséget.

  8. (Nem kötelező) Ha le kell tiltani az alkalmazás felhasználóinak az Ön által meghatározott hatókörökre vonatkozó hozzájárulási kérését, előzetesen engedélyezheti az ügyfélalkalmazásnak a webes API-hoz való hozzáférést. Csak azokat az ügyfélalkalmazásokat engedélyezze előre, amelyekben megbízik, mivel a felhasználók nem utasítják el a hozzájárulásukat.

    1. Az Engedélyezett ügyfélalkalmazások alatt válassza az Ügyfélalkalmazás hozzáadása lehetőséget.
    2. Adja meg az elő engedélyezni kívánt ügyfélalkalmazás alkalmazás- (ügyfél-) azonosítóját. Például egy korábban regisztrált webalkalmazáshoz.
    3. Az Engedélyezett hatókörök alatt válassza ki azokat a hatóköreket, amelyekre le szeretné tiltani a hozzájárulási kéréseket, majd válassza az Alkalmazás hozzáadása lehetőséget.

    Ha követte ezt a nem kötelező lépést, az ügyfélalkalmazás mostantól egy előre engedélyezett ügyfélalkalmazás (PCA), és a felhasználóknak nem kell jóváhagyást kérniük, amikor bejelentkeznek.

Ezután adjon hozzá egy másik, nevű példahatókört, amelybe csak a rendszergazdák Employees.Write.All járulnak hozzá. A rendszergazdai jóváhagyást igénylő hatókörök általában a magasabb jogosultsági szintű műveletekhez való hozzáférés biztosításához használatosak, gyakran pedig olyan ügyfélalkalmazások, amelyek háttérszolgáltatásként vagy démonként futnak, és nem jelentkeznek be interaktívan a felhasználókba.

A példahatókör hozzáadásához kövesse a Hatókör hozzáadása szakasz lépéseit, és adja meg ezeket az értékeket Employees.Write.All a Hatókör hozzáadása panelen:

Mező Példaérték
Hatókör neve Employees.Write.All
Ki adhat hozzájárulást? Csak rendszergazdák
Rendszergazdai hozzájárulás megjelenítendő neve Write access to Employee records
Rendszergazdai jóváhagyás leírása Allow the application to have write access to all Employee data.
Felhasználói jóváhagyás megjelenítendő neve Nincs (hagyja üresen)
Felhasználói jóváhagyás leírása Nincs (hagyja üresen)

A felfedett hatókörök ellenőrzése

Ha sikeresen hozzáadta az előző szakaszokban leírt mindkét példahatókört, azok a webes API-alkalmazásregisztráció API-jának megjelenítése panelen jelennek meg, az alábbi képhez hasonlóan:

Képernyőkép az API-k elérhetővé tevésének panelről két elérhető hatókörrel.

Ahogy az a képen is látható, a hatókör teljes sztringje a webes API alkalmazásazonosító URI-jának és a hatókör hatókörnevének összeadása.

Ha például a webes API alkalmazásazonosító URI-ja , és a hatókör neve , a https://contoso.com/api Employees.Read.All teljes hatókör a következő:

https://contoso.com/api/Employees.Read.All

A felfedett hatókörök használata

A sorozat következő cikkében konfigurálhatja az ügyfélalkalmazás regisztrációját a webes API-hoz való hozzáféréssel, valamint a jelen cikk lépéseit követve meghatározott hatókörökkel.

Miután az ügyfélalkalmazás regisztrációja engedélyt kapott a webes API-hoz való hozzáférésre, az ügyfél kiadhat egy OAuth 2.0 hozzáférési jogkivonatot a Microsoft Identitásplatform. Amikor az ügyfél a webes API-t hívja meg, egy hozzáférési jogkivonatot hoz létre, amelynek scope ( ) jogcíme az ügyfél alkalmazásregisztrációban megadott scp engedélyekre van beállítva.

A későbbiekben igény szerint további hatóköröket is közzétehet. Vegye figyelembe, hogy a webes API több művelethez társított több hatókört is elérhetővé tud téve. Az erőforrás futásidőben szabályozhatja a webes API-hoz való hozzáférést, ha kiértékeli a kapott OAuth 2.0 hozzáférési jogkivonat hatókörét ( scp ) jogcím(ök).

Következő lépések

Most, hogy elérhetővé teszi a webes API-t a hatóköreinek konfigurálásával, konfigurálja az ügyfélalkalmazás regisztrációját a hatókörök elérésére vonatkozó engedéllyel.