Mendaftar aplikasi Microsoft Graph

  • Artikel

Microsoft Graph memungkinkan Anda mengelola banyak sumber daya dalam penyewa Azure AD B2C, termasuk akun pengguna pelanggan dan kebijakan kustom. Dengan menulis skrip atau aplikasi yang memanggil Microsoft Graph API, Anda dapat mengotomatiskan tugas pengelolaan penyewa seperti:

  • Melakukan migrasi penyimpanan pengguna yang sudah ada ke penyewa Azure AD B2C
  • Menyebarkan kebijakan kustom dengan Azure Pipeline di Azure DevOps, dan mengelola kunci kebijakan kustom
  • Menghosting pendaftaran pengguna di halaman Anda sendiri, dan membuat akun pengguna di direktori Azure AD B2C Anda di belakang layar
  • Mengotomatiskan pendaftaran aplikasi
  • Mendapatkan log audit

Bagian berikut ini membantu Anda mempersiapkan diri untuk menggunakan Microsoft Graph API untuk mengotomatiskan pengelolaan sumber daya di direktori Azure AD B2C Anda.

Mode interaksi Microsoft Graph API

Ada dua mode komunikasi yang dapat Anda gunakan saat bekerja dengan Microsoft Graph API untuk mengelola sumber daya di penyewa Azure AD B2C Anda:

  • Interaktif - Sesuai untuk tugas jalankan-sekali, Anda menggunakan akun administrator di penyewa B2C untuk melakukan tugas pengelolaan. Mode ini mengharuskan seorang admin untuk masuk menggunakan informasi masuk mereka sebelum memanggil Microsoft Graph API.

  • Otomatis - Untuk tugas terjadwal atau tugas yang terus berjalan, metode ini menggunakan akun layanan yang Anda konfigurasikan dengan izin yang diperlukan untuk melakukan tugas pengelolaan. Anda membuat "akun layanan" di Azure AD B2C dengan mendaftarkan sebuah aplikasi yang digunakan aplikasi dan skrip Anda untuk mengautentikasi menggunakan ID Aplikasi (Klien) dan Informasi masuk klien OAuth 2.0 untuk pemberian izinnya. Dalam hal ini, aplikasi bertindak sebagai dirinya sendiri untuk memanggil Microsoft Graph API, bukan pengguna admin seperti dalam metode interaktif yang dijelaskan sebelumnya.

Anda mengaktifkan skenario interaksi Otomatis dengan membuat pendaftaran aplikasi yang diperlihatkan di bagian berikut.

layanan autentikasi Azure AD B2C secara langsung mendukung alur pemberian info masuk klien OAuth 2.0 (saat ini dalam pratinjau publik), tetapi Anda tidak dapat menggunakannya untuk mengelola sumber daya Azure AD B2C Anda melalui Microsoft Graph API. Namun, Anda dapat menyiapkan alur kredensial klien menggunakan ID Microsoft Entra dan titik akhir platform identitas Microsoft /token untuk aplikasi di penyewa Azure AD B2C Anda.

Mendaftar aplikasi pengelolaan

Sebelum skrip dan aplikasi Anda dapat berinteraksi dengan Microsoft Graph API untuk mengelola sumber daya Azure AD B2C, Anda perlu membuat pendaftaran aplikasi di penyewa Azure AD B2C yang memberikan izin API yang diperlukan.

  1. Masuk ke portal Azure.
  2. Jika Anda memiliki akses ke beberapa penyewa, pilih ikon Pengaturan di menu atas untuk beralih ke penyewa Azure AD B2C Anda dari menu Direktori + langganan.
  3. Di portal Microsoft Azure, cari dan pilih AAD B2C.
  4. Pilih Pendaftaran aplikasi, lalu pilih Pendaftaran baru.
  5. Masukkan Nama untuk aplikasi. Misalnya, managementapp1.
  6. Pilih Akun yang hanya dalam direktori organisasi ini.
  7. Di bawah Izin, kosongkan Beri persetujuan admin untuk izin openid dan offline_access pada kotak centangnya.
  8. Pilih Daftarkan.
  9. Catat ID Aplikasi (klien) yang muncul pada halaman gambaran umum aplikasi. Anda menggunakan nilai ini di langkah selanjutnya.

Memberikan akses API

Agar aplikasi Anda mengakses data di Microsoft Graph, berikan yang relevan untuk aplikasi yang sudah terdaftar izin aplikasi. Izin efektif aplikasi Anda adalah tingkat keistimewaan penuh yang tersirat oleh izin. Misalnya, untuk membuat, membaca,. memperbarui, dan menghapus setiap pengguna di penyewa Azure AD B2C Anda, tambahkan User.ReadWrite.All untuk izinnya.

Catatan

Izin User.ReadWrite.All tidak menyertakan kemampuan memperbarui kata sandi akun pengguna. Jika aplikasi Anda perlu memperbarui kata sandi akun pengguna, berikan peran administrator pengguna. Saat memberikan peran admin pengguna, User.ReadWrite.All tidak diperlukan. Peran administrator pengguna mencakup semua yang diperlukan untuk mengelola pengguna.

Anda dapat memberikan beberapa izin aplikasi kepada aplikasi Anda. Misalnya, jika aplikasi Anda juga perlu mengelola grup di penyewa Azure AD B2C Anda, tambahkan izin Group.ReadWrite.All juga.

Pendaftaran aplikasi

  1. Di bagian Kelola, pilih Izin API.
  2. Di Izin yang dikonfigurasi, pilih Tambahkan izin.
  3. Pilih tab API Microsoft, lalu pilih Microsoft Graph.
  4. Pilih Izin aplikasi.
  5. Perluas grup izin yang sesuai dan pilih kotak centang untuk memberikan izin kepada aplikasi manajemen Anda. Misalnya:
    • Pengguna>User.ReadWrite.All: Untuk migrasi pengguna atau skenario manajemen pengguna.
    • Grup>Group.ReadWrite.All: Untuk membuat grup, membaca dan memperbarui keanggotaan grup, dan menghapus grup.
    • AuditLog>AuditLog.Read.All: Untuk membaca log audit direktori.
    • Kebijakan>Policy.ReadWrite.TrustFramework: Untuk skenario integrasi berkelanjutan/pengiriman berkelanjutan (CI/CD). Misalnya, penyebaran kebijakan kustom dengan Azure Pipelines.
  6. Pilih Tambahkan izin. Sesuai petunjuk, tunggu beberapa menit sebelum melanjutkan ke langkah berikutnya.
  7. Pilih Berikan persetujuan admin untuk (nama penyewa Anda).
  8. Masuk dengan akun di penyewa Azure AD B2C Anda yang memiliki peran Administrator Aplikasi Cloud yang ditetapkan untuknya, lalu pilih Berikan persetujuan admin untuk (nama penyewa Anda).
  9. Pilih Refresh, lalu verifikasi bahwa "Diberikan untuk ..." muncul di bawah Status. Penerapan izin mungkin memerlukan waktu beberapa menit.

[Opsional] Memberikan peran administrator pengguna

Jika aplikasi atau skrip Anda perlu memperbarui kata sandi pengguna, Anda perlu menetapkan peran Administrator pengguna ke aplikasi Anda. Peran Administrator pengguna memiliki sekumpulan izin tetap yang Anda berikan ke aplikasi Anda.

Untuk peran Administrator pengguna yang ingin Anda tambahkan, ikuti langkah-langkah berikut:

  1. Masuk ke portal Azure.
  2. Jika Anda memiliki akses ke beberapa penyewa, pilih ikon Pengaturan di menu atas untuk beralih ke penyewa Azure AD B2C Anda dari menu Direktori + langganan.
  3. Cari dan pilih Azure AD B2C.
  4. Di bawah Kelola, pilih Peran dan admin.
  5. Pilih Administrator pengguna untuk perannya.
  6. Pilih Tambahkan penugasan.
  7. Di kotak teks Pilih, masukkan nama atau ID aplikasi yang telah Anda daftarkan sebelumnya, misalnya, managementapp1. Saat muncul di hasil pencarian, pilih aplikasi Anda.
  8. Pilih Tambahkan. Mungkin perlu waktu beberapa menit agar izin sepenuhnya diterapkan.

Membuat rahasia klien

Aplikasi Anda membutuhkan sebuah rahasia klien untuk membuktikan identitasnya saat meminta token. Untuk menambahkan rahasia klien, ikuti langkah-langkah ini:

  1. Di bagian Kelola, pilih Sertifikat & rahasia.
  2. Pilih Rahasia klien baru.
  3. Masukkan deskripsi untuk rahasia klien dalam kotak Deskripsi. Misalnya, clientsecret1.
  4. Di bawahKedaluwarsa, pilih durasi yang membuat rahasia tersebut valid, lalu pilih Tambahkan.
  5. Catat Nilai rahasia. Anda menggunakan nilai ini untuk konfigurasi di langkah selanjutnya.

Langkah berikutnya

Sekarang setelah Anda mendaftarkan aplikasi pengelolaan Anda dan telah memberikannya izin yang diperlukan, aplikasi dan layanan Anda (misalnya, Azure Pipelines) dapat menggunakan informasi masuk dan izinnya untuk berinteraksi dengan Microsoft Graph API.