Konfigurace správce přihlašovacích údajů – Rozhraní Microsoft Graph API
PLATÍ PRO: Všechny úrovně služby API Management
Tento článek vás provede kroky potřebnými k vytvoření spravovaného připojení k rozhraní Microsoft Graph API ve službě Azure API Management. V tomto příkladu se používá typ udělení autorizačního kódu.
Získáte informace pro:
- Vytvoření aplikace Microsoft Entra
- Vytvoření a konfigurace zprostředkovatele přihlašovacích údajů ve službě API Management
- Konfigurace připojení
- Vytvoření rozhraní Microsoft Graph API ve službě API Management a konfigurace zásad
- Testování rozhraní Microsoft Graph API ve službě API Management
Požadavky
Přístup k tenantovi Microsoft Entra, kde máte oprávnění k vytvoření registrace aplikace a udělení souhlasu správce pro oprávnění aplikace. Další informace
Pokud chcete vytvořit vlastního tenanta pro vývojáře, můžete se zaregistrovat do programu Microsoft 365 Developer Program.
Spuštěná instance služby API Management. Pokud potřebujete, vytvořte instanci služby Azure API Management.
Povolte spravovanou identitu přiřazenou systémem pro službu API Management v instanci služby API Management.
Krok 1: Vytvoření aplikace Microsoft Entra
Vytvořte aplikaci Microsoft Entra pro rozhraní API a udělte jí příslušná oprávnění pro požadavky, které chcete volat.
Přihlaste se k webu Azure Portal pomocí účtu s dostatečnými oprávněními v tenantovi.
V části Služby Azure vyhledejte ID Microsoft Entra.
V nabídce vlevo vyberte Registrace aplikací a pak vyberte + Nová registrace.
Na stránce Registrace aplikace zadejte nastavení registrace aplikace:
Do pole Název zadejte smysluplný název, který se zobrazí uživatelům aplikace, například MicrosoftGraphAuth.
V části Podporované typy účtů vyberte možnost, která vyhovuje vašemu scénáři, například Účty v tomto organizačním adresáři (jenom jeden tenant).
Nastavte identifikátor URI přesměrování na web a zadejte
https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>název služby API Management, kde nakonfigurujete zprostředkovatele přihlašovacích údajů.Vyberte Zaregistrovat.
V nabídce vlevo vyberte oprávnění rozhraní API a pak vyberte + Přidat oprávnění.
- Vyberte Microsoft Graph a pak vyberte Delegovaná oprávnění.
Poznámka:
Ujistěte se, že oprávnění User.Read s typem Delegováno již bylo přidáno.
- Zadejte Team, rozbalte možnosti týmu a pak vyberte Team.ReadBasic.All. Vyberte Přidat oprávnění.
- Dále vyberte Udělit souhlas správce pro výchozí adresář. Stav oprávnění se změní na Uděleno pro výchozí adresář.
- Vyberte Microsoft Graph a pak vyberte Delegovaná oprávnění.
V nabídce vlevo vyberte Přehled. Na stránce Přehled najděte hodnotu ID aplikace (klienta) a poznamenejte si ji pro použití v kroku 2.
V nabídce vlevo vyberte Certifikáty a tajné kódy a pak vyberte + Nový tajný klíč klienta.
- Zadejte popis.
- Vyberte možnost Vypršení platnosti.
- Vyberte Přidat.
- Před opuštěním stránky zkopírujte hodnotu tajného klíče klienta. Budete ho potřebovat v kroku 2.
Krok 2: Konfigurace zprostředkovatele přihlašovacích údajů ve službě API Management
Přihlaste se k portálu a přejděte do instance služby API Management.
V nabídce vlevo vyberte Správce přihlašovacích údajů a pak vyberte + Vytvořit.
Na stránce Vytvořit zprostředkovatele přihlašovacích údajů zadejte následující nastavení a vyberte Vytvořit:
Nastavení Hodnota Název zprostředkovatele přihlašovacích údajů Název podle vašeho výběru, například MicrosoftEntraID-01 Zprostředkovatel identity Výběr Azure Active Directory v1 Typ udělení Výběr autorizačního kódu Adresa URL autorizace Volitelné pro zprostředkovatele identity Microsoft Entra. Výchozí hodnota je https://login.microsoftonline.com.ID klienta Vložte hodnotu, kterou jste zkopírovali dříve z registrace aplikace. Tajný klíč klienta Vložte hodnotu, kterou jste zkopírovali dříve z registrace aplikace. Adresa URL prostředku https://graph.microsoft.comID klientu Volitelné pro zprostředkovatele identity Microsoft Entra. Výchozí hodnota je Běžná. Obory Volitelné pro zprostředkovatele identity Microsoft Entra. Automaticky nakonfigurované z oprávnění rozhraní API aplikace Microsoft Entra.
Krok 3: Konfigurace připojení
Na kartě Připojení ion proveďte kroky pro připojení k poskytovateli.
Poznámka:
Když nakonfigurujete připojení, služba API Management ve výchozím nastavení nastaví zásady přístupu, které umožňují přístup spravované identitě přiřazené systémem instance. Tento přístup pro tento příklad stačí. Podle potřeby můžete přidat další zásady přístupu.
- Zadejte název Připojení ion a pak vyberte Uložit.
- V části Krok 2: Přihlaste se ke svému připojení (pro typ udělení autorizačního kódu) vyberte odkaz pro přihlášení k poskytovateli přihlašovacích údajů. Proveďte tam kroky pro autorizaci přístupu a vraťte se do služby API Management.
- V kroku 3: Určete, kdo bude mít k tomuto připojení přístup (zásady přístupu) uvedený člen spravované identity. Přidání dalších členů je volitelné v závislosti na vašem scénáři.
- Zvolte Dokončit.
Nové připojení se zobrazí v seznamu připojení a zobrazuje stav Připojení. Pokud chcete pro zprostředkovatele přihlašovacích údajů vytvořit další připojení, proveďte předchozí kroky.
Tip
Pomocí portálu můžete kdykoli přidat, aktualizovat nebo odstranit připojení k poskytovateli přihlašovacích údajů. Další informace najdete v tématu Konfigurace více připojení.
Poznámka:
Pokud po tomto kroku aktualizujete oprávnění Microsoft Graphu, budete muset opakovat kroky 2 a 3.
Krok 4: Vytvoření rozhraní Microsoft Graph API ve službě API Management a konfigurace zásad
Přihlaste se k portálu a přejděte do instance služby API Management.
V nabídce vlevo vyberte rozhraní API > a přidat rozhraní API.
Vyberte HTTP a zadejte následující nastavení. Pak vyberte Vytvořit.
Nastavení Hodnota Zobrazované jméno msgraph Adresa URL webové služby https://graph.microsoft.com/v1.0Přípona adresy URL rozhraní API msgraph Přejděte do nově vytvořeného rozhraní API a vyberte Přidat operaci. Zadejte následující nastavení a vyberte Uložit.
Nastavení Hodnota Zobrazované jméno getprofile Adresa URL pro GET /Mě Podle předchozích kroků přidejte další operaci s následujícím nastavením.
Nastavení Hodnota Zobrazované jméno getJoinedTeams Adresa URL pro GET /me/joinTeams Vyberte Všechny operace. V části Zpracování příchozích dat vyberte ikonu (</>) (editor kódu).
Zkopírujte a vložte následující fragment kódu. Aktualizujte zásadu
get-authorization-contextpomocí názvů zprostředkovatele přihlašovacích údajů a připojení, které jste nakonfigurovali v předchozích krocích, a vyberte Uložit.- Nahraďte název zprostředkovatele přihlašovacích údajů hodnotou
provider-id - Nahraďte název připojení hodnotou
authorization-id
<policies> <inbound> <base /> <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" /> <set-header name="Authorization" exists-action="override"> <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value> </set-header> </inbound> <backend> <base /> </backend> <outbound> <base /> </outbound> <on-error> <base /> </on-error> </policies>- Nahraďte název zprostředkovatele přihlašovacích údajů hodnotou
Předchozí definice zásady se skládá ze dvou částí:
- Zásada get-authorization-context načte autorizační token odkazováním na zprostředkovatele přihlašovacích údajů a připojení, které byly vytvořeny dříve.
- Zásada set-header vytvoří hlavičku HTTP s načteným přístupovým tokenem.
Krok 5: Testování rozhraní API
Na kartě Test vyberte jednu operaci, kterou jste nakonfigurovali.
Vyberte Odeslat.
Úspěšná odpověď vrátí uživatelská data z Microsoft Graphu.
Související obsah
- Přečtěte si další informace o zásadách ověřování a autorizace ve službě Azure API Management.
- Přečtěte si další informace o oborech a oprávněních v Microsoft Entra ID.