Préparer le locataire externe à appeler une API dans une application web Node.js
S’applique à : Locataires de main-d’œuvre Locataires externes (en savoir plus)
Dans cet article, vous préparez votre locataire externe pour l’autorisation. Cet article est la première partie d’un guide en quatre parties.
Prérequis
Suivez les étapes de Tutoriel : Préparer votre locataire externe pour connecter des utilisateurs dans une application web Node.js. Une fois ce tutoriel terminé, vous inscrivez une application dans le locataire de votre client et vous disposez d’une application web qui connecte des utilisateurs. Nous faisons référence à cette application web en tant qu’application cliente. Vous étendez cette application pour appeler une API web protégée.
Suivez les étapes décrites dans Tutoriel : Sécuriser une API web ASP.NET inscrite dans un locataire externe. Une fois ce didacticiel terminé, vous inscrivez une API web dans le locataire de votre client, qui expose les autorisations d’API et publie des rôles d’application. Vous disposez également d’une API web sécurisée. Vous appelez cette API web à partir de l’application web cliente.
Configurer la revendication de jeton idtyp [facultatif]
Vous pouvez utiliser l’option idtyp pour aider l’API web à déterminer si un jeton est un jeton d’application ou un jeton d’application et d’utilisateur. Même si vous pouvez utiliser une combinaison de revendications scp et de rôles dans le même but, l’utilisation de la revendication idtyp est le moyen le plus simple de distinguer un jeton d’application d’un jeton application + utilisateur. Par exemple, la valeur de cette revendication est app lorsque le jeton est un jeton d'application uniquement.
Suivez les étapes de l’article Configurer les revendications facultatives pour ajouter une revendication idtyp au jeton d’accès :
- Pour le Type de jeton, sélectionnez Accès.
- Dans la liste facultative des revendications, sélectionnez idtyp.
Accorder des autorisations d’API à l’application web
À partir des prérequis, vous avez inscrit une application cliente dans le locataire de votre client. Vous avez également inscrit une application API web dans vos clients. À présent, vous devez accorder des autorisations d’API à votre application cliente :
Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Autorisations de l’API.
Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
Sélectionnez l’onglet API utilisées par mon organisation.
Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.
Sélectionnez l’option Autorisations déléguées.
Dans la liste des autorisations, sélectionnez ToDoList.Read, ToDoList.ReadWrite (utilisez la zone de recherche si nécessaire).
Sélectionnez le bouton Ajouter des autorisations.
À ce stade, vous avez attribué les autorisations correctement. Toutefois, comme le locataire est celui d’un client, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à ces autorisations. Pour résoudre ceci, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :
Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux autorisations.
Dans la liste Autorisations configurées, sélectionnez les autorisations ToDoList.Read et ToDoList.ReadWrite, une par une, puis copiez l’URI complet de l’autorisation pour l’utiliser ultérieurement. L’URI d’autorisation complet ressemble à
api://{clientId}/{ToDoList.Read}
ouapi://{clientId}/{ToDoList.ReadWrite}
.
Étape suivante
À présent, découvrez comment préparer votre application web et votre API.