Todentamisen JavaScript-ohjelmointirajapinta
Fabric-edusta tarjoaa Fabric-kuormituksille JavaScript-ohjelmointirajapinnan, jonka avulla se voi hankkia sovellukselleen tunnuksen Microsoft Entra ID:ssä. Tässä artikkelissa kuvataan tätä ohjelmointirajapintaa.
Ohjelmointirajapinta
acquireAccessToken(params: AcquireAccessTokenParams): Promise<AccessToken>;
export interface AcquireAccessTokenParams {
additionalScopesToConsent?: string[];
claimsForConditionalAccessPolicy?: string;
promptFullConsent?: boolean;
}
Ohjelmointirajapinta palauttaa AccessToken-objektin, joka sisältää tunnuksen itse ja tunnuksen vanhentumispäivämäärän.
Jos haluat kutsua ohjelmointirajapintaa Edustan mallissa, luo mallikohde, vieritä alaspäin ja valitse Siirry todentamissivulle. Sen jälkeen voit valita Hanki käyttöoikeustietue saadaksesi tunnuksen takaisin.
Suostuu
Jos haluat tietää, miksi suostumus vaaditaan, siirry Microsoft Entra -tunnuksen käyttäjän ja järjestelmänvalvojan suostumuksen kautta.
Muistiinpano
CRUD/Jobsin käyttöön vaaditaan suostumus, jotta se voi työskennellä ja hankkia tunnukset vuokraajasta toiselle.
Miten suostumus toimii Fabric-kuormituksissa?
Kun Fabric FE antaa suostumuksen tietylle sovellukselle, se luo MSAL-esiintymän , joka on määritetty kuormituksen sovellustunnuksella, ja pyytää tunnusta annetuille vaikutusalueille (additionalScopesToConsent – katso AcquireAccessTokenParams).
Kun pyydät tunnusta kuormitussovelluksen tietylle laajuudelle, Microsoft Entra ID näyttää ponnahdusikkunan suostumuksen, jos sitä puuttuu, ja ohjaa sitten ponnahdusikkunan sovelluksessa määritettyyn uudelleenohjauksen URI-osoitteeseen .
Yleensä uudelleenohjauksen URI-osoite on samalla toimialueella kuin tunnusta pyytänyt sivu, joten sivu voi käyttää ponnahdusikkunaa ja sulkea sen.
Tässä tapauksessa se ei ole samalla toimialueella, koska Fabric pyytää tunnusta ja kuormituksen uudelleenohjauksen URI ei ole Fabric-toimialueella. Joten kun suostumusvalintaikkuna avautuu, se on suljettava manuaalisesti uudelleenohjauksen jälkeen. Emme käytä redirectUri-kohdassa palautettua koodia, joten suljemme sen automaattisesti (kun Microsoft Entra ID ohjaa ponnahdusikkunan uudelleenohjaus-URI-osoitteeseen, se yksinkertaisesti sulkeutuu).
Näet uudelleenohjauksen Uri-uri-koodin ja määrityksen index.ts-tiedostossa.
Tässä on esimerkki sovelluksen oman kuormitussovelluksen suostumusikkunasta ja sen riippuvuuksista (tallennustila ja Power BI), jotka määritimme todentamisen määritystä käytettäessä:
Toinen tapa myöntää suostumus kotivuokraajassa (valinnainen)
Saadaksesi suostumuksen sovelluksen kotivuokraajaan voit pyytää vuokraajan järjestelmänvalvojaa myöntämään luvan koko vuokraajalle URL-osoitteen kautta seuraavassa muodossa (lisää oma vuokraajatunnuksesi ja asiakastunnus):
https://login.microsoftonline.com/{tenantId}/adminconsent?client_id={clientId}
AcquireAccessTokenParams
Kun hankit acquireAccessToken JS -ohjelmointirajapinnan, voimme antaa kolme parametria:
- additionalScopesToConsent: Muut alueet, joiden osalta pyydetään suostumusta, esimerkiksi tiedusteluskenaariot.
- claimsForConditionalAccessPolicy: Microsoft Entra ID:stä palautetut väitteet, kun OBO-työnkulut epäonnistuvat, esimerkiksi OBO edellyttää monimenetelmäistä todentamista.
- promptFullConsent: kysyy täyden suostumusikkunan kuormitussovelluksen staattisista riippuvuuksista.
additionalScopesToConsent
Jos kuormituksen edusta pyytää tunnusta kuormituksen taustakutsujen käyttöön, tämän parametrin on oltava tyhjäarvo. Kuormituksen taustan suorittaminen voi epäonnistua OBO:n suorittamisessa vastaanotolle tunnuksen puuttuvan virheen vuoksi, tässä tapauksessa kuormituksen taustan on välitettävä virhe kuormituksen edustalle ja annettava tämä parametri.
claimsForConditionalAccessPolicy
Tätä parametria käytetään, kun joutuu kohtaamaan OBO-virheitä kuormituksessa BE joidenkin vuokraajalle määritettyjen ehdollisten käyttöoikeuskäytäntöjen vuoksi.
OBO-virheet ehdollisten käyttöoikeuskäytäntöjen vuoksi palauttavat merkkijonon nimeltä "väitteet". Tämä merkkijono tulee lähettää kuormituksen FE:lle, jossa FE:n tulee pyytää tunnusta ja välittää vaatimus väitteidenForConditionalAccessPolicy muodossa. Lisätietoja on artikkelissa Monimenetelmäisen todennuksen (MFA) käsittely, ehdollinen käyttöoikeus ja lisäävä suostumus.
Katso AuthenticationService AddBearerClaimToResponse -käyttö BE-mallista esimerkkejä vastauksista, joiden avulla OBO-toiminnot epäonnistuvat suostumuksen puuttumisen tai ehdollisten käyttöoikeuskäytäntöjen vuoksi.
Lisätietoja näistä lisäsyistäScopesToConsent ja claimsForConditionalAccessPolicy ja katso esimerkkejä käytöstä on artikkelissa Kuormituksen todentamisen ohjeet ja syväkatsaus.
promptFullConsent
Kun tämä välitetään arvona tosi, staattisten riippuvuuksien täysi suostumus ponnahtaa käyttäjälle riippumatta siitä, onko käyttäjä antanut suostumuksensa aiemmin vai ei. Tämän parametrin esimerkkikäyttö on painikkeen lisääminen käyttökokemukseen, jossa käyttäjä voi käyttää sitä antamaan työmäärälle täyden suostumuksen.