Preparare il tenant esterno per chiamare un'API in un'applicazione Web Node.js

Si applica a: Tenant della forza lavoro Tenant esterni (altre informazioni)

In questo articolo si prepara il tenant esterno per l'autorizzazione. Questo articolo è la prima parte di una guida in quattro parti.

Prerequisito

• Completare la procedura descritta in Esercitazione: Preparare il tenant esterno per consentire agli utenti di accedere a un'app Web Node.js. Dopo aver completato questa esercitazione, si registra un'app nel tenant del cliente e si dispone di un'app Web che accede agli utenti. Si fa riferimento a questa applicazione Web come applicazione client. Questa applicazione viene estesa per chiamare un'API Web protetta.

• Completare la procedura descritta in Esercitazione: Proteggere un'API Web ASP.NET registrata in un tenant esterno. Dopo aver completato questa esercitazione, si registra un'API Web nel tenant del cliente, che espone le autorizzazioni API e pubblica i ruoli dell'applicazione. È anche disponibile un'API Web protetta. Questa API Web viene chiamata dall'applicazione Web client.

Configurare l'attestazione token idtyp [facoltativo]

È possibile usare l'attestazione facoltativa idtyp per aiutare l'API Web a determinare se un token è un token dell'app o un token dell'app e dell'utente. Sebbene sia possibile usare una combinazione di attestazioni scp e ruoli per lo stesso scopo, l'uso dell'attestazione idtyp è il modo più semplice per distinguere un token dell'app da un token dell'app e dell'utente. Ad esempio, il valore di questa attestazione è app quando il token è un token solo app.

Usare la procedura descritta nell'articolo Configurare attestazioni facoltative per aggiungere l'attestazione idtyp al token di accesso:

• Per il tipo di token selezionare Accesso.
• Nell'elenco di attestazioni facoltative, selezionare idtyp.

Concedere autorizzazioni API all'app Web

Dai prerequisiti è stata registrata un'app client nel tenant del cliente. È stata anche registrata un'app per le API Web nei clienti. È ora necessario concedere autorizzazioni API all'app client:

1. Nella pagina Registrazioni app, selezionare l'applicazione creata (ad esempio ciam-client-app) per aprire la relativa pagina di Panoramica.

2. In Gestisci selezionare Autorizzazioni API.

3. In Autorizzazioni configurate selezionare Aggiungi un'autorizzazione.

4. Selezionare la scheda API usate dall'organizzazione.

5. Nell'elenco delle API, selezionare l'API, ad esempio ciam-ToDoList-api.

6. Selezionare l'opzione Autorizzazioni delegate.

7. Nell'elenco delle autorizzazioni selezionare ToDoList.Read, ToDoList.ReadWrite (usare la casella di ricerca, se necessario).

8. Selezionare il pulsante Aggiungi autorizzazioni.

9. A questo punto, le autorizzazioni sono state assegnate correttamente. Tuttavia, poiché il tenant è un tenant di un cliente, gli utenti consumer stessi non possono fornire il consenso a queste autorizzazioni. Per risolvere questo problema, l'amministratore deve fornire il consenso a queste autorizzazioni per conto di tutti gli utenti nel tenant:

   1. Selezionare Concedi consenso amministratore per <nome del tenant>, quindi selezionare Sì.

   2. Selezionare Aggiorna, quindi verificare che il valore Concesso per <nome del tenant> venga visualizzato in Stato per entrambe le autorizzazioni.

10. Nell'elenco Autorizzazioni configurate selezionare le autorizzazioni ToDoList.Read e ToDoList.ReadWrite, una alla volta, quindi copiare l'URI completo dell'autorizzazione per un uso successivo. L'URI completo dell'autorizzazione ha un aspetto simile a api://{clientId}/{ToDoList.Read} o api://{clientId}/{ToDoList.ReadWrite}.

Passaggio successivo

Informazioni su come preparare l'applicazione Web e l'API.

Iniziare a creare l'applicazione Web e l'API