Příprava externího tenanta na volání rozhraní API ve webové aplikaci Node.js
Platí pro: Tenanti pracovní síly
Externí tenanti (další informace)
V tomto článku připravíte externího tenanta na autorizaci. Tento článek je první částí čtyřdílného průvodce.
Požadavek
Dokončete kroky v návodu: Jak připravit externího tenanta na přihlášení uživatelů do Node.js webové aplikace. Po dokončení tohoto kurzu zaregistrujete aplikaci v tenantovi zákazníka a máte webovou aplikaci, která přihlašuje uživatele. Tuto webovou aplikaci označujeme jako klientskou aplikaci. Tuto aplikaci rozšíříte tak, aby volala chráněné webové rozhraní API.
Dokončete kroky v kurzu: Zabezpečení webového rozhraní API ASP.NET zaregistrovaného v externím tenantovi. Po dokončení tohoto kurzu zaregistrujete webové rozhraní API v tenantovi zákazníka, které zpřístupňuje oprávnění rozhraní API a publikuje role aplikací. Máte také zabezpečené webové rozhraní API. Toto webové rozhraní API voláte z klientské webové aplikace.
Konfigurujte nárok tokenu idtyp [volitelné]
Můžete přidat idtyp volitelnou deklaraci identity, která webovému rozhraní API pomůže určit, jestli je tokenem aplikace nebo tokenem aplikace + token uživatele. I když můžete použít kombinaci scp a rolí pro stejný účel, použití idtyp je nejjednodušší způsob, jak rozlišit token aplikace a token uživatele. Například hodnota tohoto tvrzení je aplikace, když je token určen pouze pro aplikaci.
Použijte kroky v článku Konfigurace volitelných deklarací pro přidání idtyp deklarace do přístupového tokenu:
- Pro typ tokenu vyberte Přístup.
- V seznamu volitelných požadavků vyberte idtyp.
Udělení oprávnění rozhraní API webové aplikaci
Z předpokladů jste zaregistrovali klientskou aplikaci v tenantu zákazníka. Zaregistrovali jste také aplikaci webového rozhraní API pro své zákazníky. Teď potřebujete udělit oprávnění rozhraní API klientské aplikaci:
Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.
V části Spravovat vyberte oprávnění rozhraní API.
V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.
Vyberte rozhraní API, která moje organizace používá, kartu.
V seznamu rozhraní API vyberte rozhraní API, jako například ciam-ToDoList-api.
Vyberte možnost Delegovaná oprávnění .
V seznamu oprávnění vyberte ToDoList.Read, ToDoList.ReadWrite (v případě potřeby použijte vyhledávací pole).
Vyberte tlačítko Přidat oprávnění.
V tomto okamžiku jste správně přiřadili oprávnění. Vzhledem k tomu, že tenanta zastupuje zákazník, nemohou koncoví uživatelé sami vyjádřit souhlas s těmito oprávněními. Abyste to vyřešili, musíte jako správce udělit souhlas s těmito oprávněními jménem všech uživatelů v tenantovi:
Vyberte Udělit souhlas správce pro <název vašeho nájemce>, poté vyberte Ano.
Vyberte Aktualizovat a ověřte, že Uděleno pro <vámi pronajímatele> se zobrazuje pod Stav pro obě oprávnění.
V seznamu Konfigurovaná oprávnění vyberte oprávnění ToDoList.Read a ToDoList.ReadWrite, a pak zkopírujte úplný identifikátor URI oprávnění pro pozdější použití. Úplný identifikátor URI oprávnění vypadá podobně jako
api://{clientId}/{ToDoList.Read}
neboapi://{clientId}/{ToDoList.ReadWrite}
.
Další krok
Dále se dozvíte, jak připravit webovou aplikaci a rozhraní API.