Dodawanie aplikacji internetowego interfejsu API do dzierżawy usługi Azure Active Directory B2C

W tym artykule pokazano, jak zarejestrować zasoby internetowego interfejsu API w dzierżawie usługi Azure Active Directory B2C (Azure AD B2C), aby umożliwić im akceptowanie żądań i odpowiadanie na nie przez aplikacje klienckie, które przedstawiają token dostępu.

Aby zarejestrować aplikację w dzierżawie usługi Azure AD B2C, możesz użyć nowego ujednoliconego środowiska Rejestracje aplikacji witryny Azure Portal lub starszego środowiska aplikacji (starsza wersja). Dowiedz się więcej na temat nowego środowiska.

Rejestracje aplikacji

1. Zaloguj się w witrynie Azure Portal.
2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.
3. W menu po lewej stronie wybierz pozycję Azure AD B2C. Możesz też wybrać pozycję Wszystkie usługi i wyszukać i wybrać pozycję Azure AD B2C.
4. Wybierz pozycję Rejestracje aplikacji, a następnie wybierz pozycję Nowa rejestracja.
5. Wprowadź nazwę aplikacji. Na przykład webapi1.
6. W obszarze Identyfikator URI przekierowania wybierz pozycję Sieć Web, a następnie wprowadź punkt końcowy, w którym usługa Azure AD B2C powinna zwracać wszystkie tokeny, które żąda aplikacja. W aplikacji produkcyjnej można ustawić identyfikator URI przekierowania jako punkt końcowy, taki jak https://localhost:5000. Podczas programowania lub testowania można ustawić ją na , należącą do https://jwt.msfirmy Microsoft aplikację internetową, która wyświetla zdekodowany zawartość tokenu (zawartość tokenu nigdy nie opuszcza przeglądarki). W dowolnym momencie możesz dodawać i modyfikować identyfikatory URI przekierowania w zarejestrowanych aplikacjach.
7. Wybierz pozycję Zarejestruj.
8. Zapisz identyfikator aplikacji (klienta) do użycia w kodzie internetowego interfejsu API.

Aplikacje (starsza wersja)

1. Zaloguj się w witrynie Azure Portal.
2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.
3. Wybierz pozycję Wszystkie usługi w lewym górnym rogu witryny Azure Portal, a następnie wyszukaj i wybierz usługę Azure AD B2C.
4. Wybierz pozycję Aplikacje (starsza wersja), a następnie wybierz pozycję Dodaj.
5. Wprowadź nazwę aplikacji. Na przykład webapi1.
6. Dla pozycji Uwzględnij aplikację internetową/internetowy interfejs API i Zezwalaj na niejawny przepływ wybierz wartość Tak.
7. Dla pozycji Adres URL odpowiedzi wprowadź punkt końcowy, w którym usługa Azure AD B2C powinna zwracać wszelkie tokeny żądane przez Twoją aplikację. W aplikacji produkcyjnej można ustawić adres URL odpowiedzi na wartość taką jak https://localhost:44332. Na potrzeby testowania ustaw adres URL odpowiedzi na https://jwt.ms.
8. Dla pozycji Identyfikator URI identyfikatora aplikacji wprowadź identyfikator używany na potrzeby internetowego interfejsu API. Zostanie wygenerowany pełny identyfikator URI łącznie z domeną. Na przykład https://contosotenant.onmicrosoft.com/api.
9. Wybierz pozycję Utwórz.
10. Na stronie właściwości zapisz identyfikator aplikacji, który będzie używany podczas konfigurowania aplikacji internetowej.

Konfigurowanie zakresów

Zakresy umożliwiają zarządzanie dostępem do chronionych zasobów. Zakresy są używane przez internetowy interfejs API w celu implementowania kontroli dostępu opartej na zakresach. Na przykład użytkownicy internetowego interfejsu API mogą mieć dostęp zarówno do odczytu, jak i zapisu lub tylko dostęp do odczytu. Korzystając z zakresów, w tym samouczku zdefiniujesz uprawnienia do odczytu i zapisu dla internetowego interfejsu API.

Rejestracje aplikacji

1. Wybierz pozycję Rejestracje aplikacji.
2. Wybierz aplikację webapi1 , aby otworzyć stronę Przegląd .
3. W obszarze Zarządzanie wybierz pozycję Uwidaczniaj interfejs API.
4. Obok pozycji Identyfikator URI identyfikatora aplikacji wybierz link Dodaj .
5. Zastąp wartość domyślną (identyfikator GUID) wartością api, a następnie wybierz pozycję Zapisz. Pełny identyfikator URI jest wyświetlany i powinien mieć format https://your-tenant-name.onmicrosoft.com/api. Gdy aplikacja internetowa żąda tokenu dostępu dla interfejsu API, powinien dodać ten identyfikator URI jako prefiks dla każdego zakresu zdefiniowanego dla interfejsu API.
6. W obszarze Zakresy zdefiniowane przez ten interfejs API wybierz pozycję Dodaj zakres.
7. Wprowadź następujące wartości, aby utworzyć zakres definiujący dostęp do odczytu do interfejsu API, a następnie wybierz pozycję Dodaj zakres:
   1. Nazwa zakresu: demo.read
   2. Administracja nazwa wyświetlana zgody:Read access to demo API
   3. opis zgody Administracja:Allows read access to the demo API
8. Wybierz pozycję Dodaj zakres, wprowadź następujące wartości, aby dodać zakres definiujący dostęp do zapisu do interfejsu API, a następnie wybierz pozycję Dodaj zakres:
   1. Nazwa zakresu: demo.write
   2. Administracja nazwa wyświetlana zgody:Write access to demo API
   3. opis zgody Administracja:Allows write access to the demo API

Aplikacje (starsza wersja)

1. Wybierz pozycję Aplikacje (starsza wersja).
2. Wybierz aplikację webapi1 , aby otworzyć stronę Właściwości .
3. Wybierz pozycję Opublikowane zakresy. Opublikowane zakresy mogą służyć do udzielania aplikacji klienckiej pewnych uprawnień do internetowego interfejsu API.
4. W polu ZAKRES wprowadź wartość , a w polu demo.readDESCRIPTION wprowadź wartość Read access to the web API.
5. W polu ZAKRES wprowadź wartość , a w polu demo.writeDESCRIPTION wprowadź wartość Write access to the web API.
6. Wybierz pozycję Zapisz.

Udzielenie uprawnień

Aby wywoływać chroniony internetowy interfejs API z aplikacji, należy udzielić aplikacji uprawnień do tego interfejsu. Na przykład w artykule Samouczek: rejestrowanie aplikacji w usłudze Azure Active Directory B2C aplikacja internetowa o nazwie webapp1 jest zarejestrowana w usłudze Azure AD B2C. Możesz użyć tej aplikacji do wywołania internetowego interfejsu API.

Rejestracje aplikacji

1. Wybierz Rejestracje aplikacji, a następnie wybierz aplikację internetową, która powinna mieć dostęp do interfejsu API. Na przykład webapp1.
2. W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
3. W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
4. Wybierz kartę Moje interfejsy API.
5. Wybierz interfejs API, do którego ma zostać udzielona aplikacja internetowa. Na przykład webapi1.
6. W obszarze Uprawnienie rozwiń węzeł pokaz, a następnie wybierz zdefiniowane wcześniej zakresy. Na przykład demo.read i demo.write.
7. Wybierz Przyznaj uprawnienia.
8. Wybierz pozycję Udziel zgody administratora (nazwa dzierżawy).
9. Jeśli zostanie wyświetlony monit o wybranie konta, wybierz aktualnie zalogowane konto administratora lub zaloguj się przy użyciu konta w dzierżawie usługi Azure AD B2C, do której przypisano co najmniej rolę administratora aplikacji w chmurze.
10. Wybierz opcję Tak.
11. Wybierz pozycję Odśwież, a następnie sprawdź, czy wyrażenie "Przyznane dla ..." pojawi się w obszarze Stan dla obu zakresów.

Aplikacje (starsza wersja)

1. Wybierz pozycję Aplikacje (starsza wersja), a następnie wybierz aplikację internetową, która powinna mieć dostęp do interfejsu API. Na przykład webapp1.
2. Wybierz pozycję Dostęp do interfejsu API, a następnie wybierz polecenie Dodaj.
3. Z listy rozwijanej Wybierz interfejs API wybierz interfejs API , do którego ma zostać udzielona aplikacja internetowa. Na przykład webapi1.
4. Z listy rozwijanej Wybierz zakresy wybierz zdefiniowane wcześniej zakresy. Na przykład demo.read i demo.write.
5. Wybierz przycisk OK.

Twoja aplikacja została zarejestrowana do wywoływania chronionego internetowego interfejsu API. Użytkownik uwierzytelnia się w usłudze Azure AD B2C, aby korzystać z aplikacji. Aplikacja uzyskuje autoryzację z usługi Azure AD B2C w celu uzyskiwania dostępu do chronionego internetowego interfejsu API.