Rychlý start: Konfigurace klientské aplikace pro přístup k webovému rozhraní API
V tomto rychlém startu poskytnete klientské aplikaci zaregistrované do platformy Microsoft Identity Platform určený, na oprávněních založený přístup k vašemu vlastnímu webovém rozhraní API. Dále klientské aplikaci poskytnete přístup k Microsoft Graphu.
Zadáním oborů webového rozhraní API v registraci klientské aplikace může klientská aplikace získat přístupový token obsahující tyto obory z platformy Microsoft Identity Platform. Ve svém kódu pak webové rozhraní API může poskytnout přístup na základě oprávnění k prostředkům na základě rozsahů nalezených v přístupovém tokenu.
Požadavky
- Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
- Dokončení rychlého startu : Registrace aplikace
- Dokončení rychlého startu: Konfigurace aplikace pro zveřejnění webového rozhraní API
Přidání oprávnění pro přístup k webovému rozhraní API
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Přístup k rozhraním API vyžaduje konfiguraci oborů přístupu a rolí. Pokud chcete zpřístupnit webová rozhraní API aplikace prostředků klientským aplikacím, můžete pro rozhraní API nakonfigurovat obory přístupu a role. Pokud chcete, aby klientská aplikace přistupovala k webovému rozhraní API, nakonfigurujete oprávnění pro přístup k rozhraní API v registraci aplikace.
Pokud chcete klientské aplikaci udělit přístup k vlastnímu webovému rozhraní API, musíte mít dvě registrace aplikací.
- Registrace klientské aplikace
- Registrace webového rozhraní API s vystavenými obory
Diagram znázorňuje, jak obě registrace aplikací vzájemně souvisejí, kde klientská aplikace má různé typy oprávnění a webové rozhraní API má různé obory, ke kterým má klientská aplikace přístup. V této části přidáte oprávnění k registraci klientské aplikace.
Jakmile zaregistrujete klientskou aplikaci i webové rozhraní API a rozhraní API vytvoříte tak, že vytvoříte obory, můžete nakonfigurovat oprávnění klienta k rozhraní API pomocí následujícího postupu:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do tenanta, který obsahuje registraci aplikace z nabídky Adresáře a předplatná.
Přejděte na Aplikace> identit>Registrace aplikací a pak vyberte klientskou aplikaci (ne webové rozhraní API).
Vyberte oprávnění rozhraní API, pak přidejte oprávnění a na bočním panelu vyberte Moje rozhraní API .
Vyberte webové rozhraní API, které jste zaregistrovali jako součást požadavků, a vyberte Delegovaná oprávnění.
Delegovaná oprávnění jsou vhodná pro klientské aplikace, které přistupují k webovému rozhraní API jako přihlášený uživatel a jejichž přístup by měl být omezen na oprávnění, která vyberete v dalším kroku. Pro tento příklad ponechte vybraná delegovaná oprávnění .
Oprávnění aplikace jsou určená pro aplikace typu služby nebo démona, které potřebují přistupovat k webovému rozhraní API jako samy o sobě, bez zásahu uživatele k přihlášení nebo souhlasu. Pokud jste pro webové rozhraní API nedefinovali role aplikací, tato možnost je zakázaná.
V části Vybrat oprávnění rozbalte prostředek, jehož obory jste definovali pro webové rozhraní API, a vyberte oprávnění, která má klientská aplikace mít jménem přihlášeného uživatele.
- Pokud jste použili příklady názvů oborů zadaných v předchozím rychlém startu, měli byste vidět Employees.Read.All a
Employees.Write.All
.
- Pokud jste použili příklady názvů oborů zadaných v předchozím rychlém startu, měli byste vidět Employees.Read.All a
Vyberte oprávnění, které jste vytvořili při dokončování požadavků,
Employees.Read.All
například .Výběrem možnosti Přidat oprávnění dokončete proces.
Po přidání oprávnění k rozhraní API by se měla zobrazit vybraná oprávnění v části Nakonfigurovaná oprávnění. Následující obrázek ukazuje příklad Employees.Read.All delegovaná oprávnění přidaná do registrace klientské aplikace.
Můžete si také všimnout oprávnění User.Read pro rozhraní Microsoft Graph API. Toto oprávnění se přidá automaticky při registraci aplikace na webu Azure Portal.
Přidání oprávnění pro přístup k Microsoft Graph
Kromě přístupu k vlastnímu webovému rozhraní API jménem přihlášeného uživatele může vaše aplikace také potřebovat přístup k datům uživatele (nebo jiných) uložených v Microsoft Graphu nebo jejich úpravu. Nebo můžete mít aplikaci služby nebo démona, která potřebuje přístup k Microsoft Graphu jako samo o sobě a provádět operace bez zásahu uživatele.
Delegovaná oprávnění k Microsoft Graphu
Nakonfigurujte delegovaná oprávnění k Microsoft Graphu, aby klientská aplikace mohla provádět operace jménem přihlášeného uživatele, například čtení e-mailu nebo úpravy profilu. Ve výchozím nastavení se uživatelům vaší klientské aplikace zobrazí výzva, když se přihlásí, aby udělili souhlas s delegovanými oprávněními, která jste pro ni nakonfigurovali.
Na stránce Přehled klientské aplikace vyberte oprávnění>rozhraní API Přidat oprávnění>Microsoft Graphu.
Vyberte Delegovaná oprávnění. Microsoft Graph zveřejňuje mnoho oprávnění, přičemž nejčastěji se zobrazuje v horní části seznamu.
V části Vybrat oprávnění vyberte následující oprávnění:
Oprávnění Popis email
Zobrazení e-mailové adresy uživatelů offline_access
Zachování přístupu k datům, ke kterým jste udělili přístup openid
Přihlášení uživatelů profile
Zobrazení základního profilu uživatele Výběrem možnosti Přidat oprávnění dokončete proces.
Pokaždé, když nakonfigurujete oprávnění, zobrazí se uživatelům vaší aplikace výzva k přihlášení k vyjádření souhlasu, aby mohla vaše aplikace přistupovat k rozhraní API prostředků jejich jménem.
Jako správce můžete také udělit souhlas jménem všech uživatelů, aby k tomu nebyli vyzváni. Souhlas správce probereme později v části Další informace o oprávněních rozhraní API a souhlasu správce tohoto článku.
Oprávnění aplikace k Microsoft Graphu
Nakonfigurujte oprávnění aplikace pro aplikaci, která se musí ověřit jako sama o sobě bez zásahu uživatele nebo souhlasu. Oprávnění aplikací se obvykle používají službami na pozadí nebo aplikacemi démona, které přistupují k rozhraní API bezobslužným způsobem, a webovými rozhraními API, která přistupují k jinému (podřízenému) rozhraní API.
V následujících krocích udělíte oprávnění pro oprávnění Files.Read.All v Microsoft Graphu jako příklad.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
- Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do tenanta, který obsahuje registraci aplikace z nabídky Adresáře a předplatná.
- Přejděte do aplikace> identit>Registrace aplikací a vyberte klientskou aplikaci.
- Vyberte oprávnění>rozhraní API– Přidat oprávnění> aplikace Microsoft Graph.>
- Všechna oprávnění vystavená službou Microsoft Graph se zobrazují v části Vybrat oprávnění.
- Vyberte oprávnění nebo oprávnění, která chcete aplikaci udělit. Můžete mít například aplikaci démona, která prohledává soubory ve vaší organizaci a upozorní na konkrétní typ nebo název souboru. V části Vybrat oprávnění rozbalte položku Soubory a pak vyberte
Files.Read.All
oprávnění. - Vyberte Přidat oprávnění.
- Některá oprávnění, například oprávnění Files.Read.All v Microsoft Graphu, vyžadují souhlas správce. Souhlas správce udělíte tak , že vyberete tlačítko Udělení souhlasu správce, které je popsáno dále v části Tlačítko souhlasu správce.
Konfigurace přihlašovacích údajů klienta
Aplikace, které používají oprávnění aplikací, se ověřují sami pomocí vlastních přihlašovacích údajů, aniž by vyžadovaly interakci uživatele. Než bude vaše aplikace (nebo rozhraní API) mít přístup k Microsoft Graphu, vlastnímu webovému rozhraní API nebo jinému rozhraní API pomocí oprávnění aplikace, musíte nakonfigurovat přihlašovací údaje klientské aplikace.
Další informace o konfiguraci přihlašovacích údajů aplikace najdete v části Přidání přihlašovacích údajů rychlého startu : Registrace aplikace na platformě Microsoft Identity Platform.
Další informace o oprávněních rozhraní API a souhlasu správce
Podokno oprávnění rozhraní API registrace aplikace obsahuje tabulku Nakonfigurovaná oprávnění a tlačítko souhlasu správce, které jsou popsány v následujících částech.
Nakonfigurovaná oprávnění
Tabulka Nakonfigurovaná oprávnění v podokně oprávnění rozhraní API zobrazuje seznam oprávnění, která vaše aplikace vyžaduje pro základní operaci – seznam požadovaných přístupů k prostředkům (RRA). Uživatelé nebo jejich správci budou muset před použitím aplikace udělit souhlas s těmito oprávněními. Další volitelná oprávnění je možné vyžádat později za běhu (pomocí dynamického souhlasu).
Toto je minimální seznam oprávnění, která budou uživatelé muset udělit souhlas s vaší aplikací. Mohlo by existovat více, ale ty budou vždy potřeba. Zabezpečení a pomoc uživatelům a správcům při používání vaší aplikace vám nikdy nepožádá nic, co nepotřebujete.
Oprávnění, která se zobrazí v této tabulce, můžete přidat nebo odebrat pomocí výše uvedených kroků. Jako správce můžete udělit souhlas správce pro úplnou sadu oprávnění rozhraní API, která se zobrazí v tabulce, a odvolat souhlas pro jednotlivá oprávnění.
Tlačítko souhlasu správce
Tlačítko Udělit souhlas správce pro {váš tenant} umožňuje správci udělit souhlas správce s oprávněními nakonfigurovaným pro aplikaci. Když tlačítko vyberete, zobrazí se dialogové okno s žádostí o potvrzení akce souhlasu.
Po udělení souhlasu se oprávnění, která vyžaduje souhlas správce, zobrazí jako udělený souhlas:
Tlačítko Udělit souhlas správce je zakázané , pokud nejste správcem nebo pokud pro aplikaci nebyla nakonfigurována žádná oprávnění. Pokud máte udělená oprávnění, která ještě nejsou nakonfigurovaná, po kliknutí na tlačítko pro vyjádření souhlasu správce se zobrazí výzva ke konfiguraci těchto oprávnění. Můžete je přidat do nakonfigurovaných oprávnění nebo je odebrat.
Odebrání oprávnění aplikace
Je důležité, abyste aplikaci neudělil příliš mnoho oprávnění, než je potřeba. Odvolání souhlasu správce s oprávněním ve vaší aplikaci;
- Přejděte do aplikace a vyberte oprávnění rozhraní API.
- V části Nakonfigurovaná oprávnění vyberte tři tečky vedle oprávnění, které chcete odebrat, a vyberte Odebrat oprávnění.
- V automaticky otevíraných oken vyberte Ano , odeberte souhlas správce s oprávněním.
Související obsah
V dalším rychlém startu v řadě se dozvíte, jak nakonfigurovat, které typy účtů mají přístup k vaší aplikaci. Můžete například chtít omezit přístup jenom na uživatele ve vaší organizaci (s jedním tenantem) nebo povolit uživatelům v jiných tenantech Microsoft Entra (víceklientů) a uživatelům s osobními účty Microsoft (MSA).