Adicionar um aplicativo de API Web ao locatário do Azure Active Directory B2C
Este artigo mostra como registrar os recursos da API Web no seu locatário do Azure AD B2C (Azure Active Directory B2C) antes de poder aceitar e responder a solicitações de recurso protegido de aplicativos clientes que apresentem um token de acesso.
Para registrar um aplicativo no locatário do Azure AD B2C, você pode usar a nova experiência unificada de Registros de aplicativo do portal do Azure ou a experiência herdada Aplicativos (Herdado). Saiba mais sobre a nova experiência.
- Entre no portal do Azure.
- Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário do Azure Active Directory B2C no menu Diretórios + assinaturas.
- No menu à esquerda, selecione Azure AD B2C. Ou selecione Todos os serviços e pesquise e selecione Azure AD B2C.
- Escolha Registros de aplicativo e Novo registro.
- Insira um Nome para o aplicativo. Por exemplo, webapi1.
- Em URI de Redirecionamento, selecione Web e depois insira um ponto de extremidade em que o Azure AD B2C deve retornar os tokens solicitados pelo seu aplicativo. Em um aplicativo de produção, você pode definir o URI de redirecionamento como um ponto de extremidade
https://localhost:5000
. Para fins de teste, como este tutorial, você pode defini-lo comohttps://jwt.ms
, um aplicativo da Web de propriedade da Microsoft que exibe o conteúdo decodificado de um token (o conteúdo do token nunca deixa o navegador). Adicione e modifique URIs de redirecionamento nos aplicativos registrados a qualquer momento. - Selecione Registrar.
- Registre a ID do aplicativo (cliente) para uso no código da sua API Web.
Configurar escopos
Os escopos fornecem uma maneira de controlar o acesso a recursos protegidos. Escopos são usados pela API Web para implementar o controle de acesso com base em escopo. Por exemplo, os usuários da API Web podem ter tanto acesso de leitura quanto de gravação ou somente acesso de leitura. Neste tutorial, você usa escopos para definir as permissões de leitura e gravação da API Web.
- Selecione Registros do Aplicativo.
- Selecione o aplicativo webapi1 para abrir a página de Visão Geral.
- Em Gerenciar, selecione Expor uma API.
- Ao lado de URI do ID do Aplicativo, selecione o link Adicionar.
- Substitua o valor padrão (uma GUID) por
api
e selecione Salvar. O URI completo é mostrado e deve estar no formatohttps://your-tenant-name.onmicrosoft.com/api
. Quando o aplicativo Web solicita um token de acesso à API, ele deve adicionar esse URI como prefixo para cada escopo que você definir para a API. - Em Escopos definidos por esta API, selecione Adicionar um escopo.
- Insira os valores a seguir para criar um escopo que define o acesso de leitura à API e selecione Adicionar escopo:
- Nome do escopo:
demo.read
- Nome de exibição de consentimento do administrador:
Read access to demo API
- Descrição do consentimento do administrador:
Allows read access to the demo API
- Nome do escopo:
- Selecione Adicionar escopo, insira os seguintes valores para criar um escopo que define o acesso de leitura à API e selecione Adicionar escopo:
- Nome do escopo:
demo.write
- Nome de exibição de consentimento do administrador:
Write access to demo API
- Descrição do consentimento do administrador:
Allows write access to the demo API
- Nome do escopo:
Conceder permissões
Para chamar uma API Web protegida de um aplicativo, é necessário conceder permissões de aplicativo à API. Por exemplo, em Tutorial: Registre um aplicativo no Azure Active Directory B2C, um aplicativo Web denominado webapp1 será criado no Azure AD B2C. Você pode usar aplicativo para chamar a API da Web.
- Selecione Registros de aplicativo e, em seguida, selecione o aplicativo Web que deve ter acesso à API. Por exemplo, webapp1.
- Em Gerenciar, selecione Permissões de API.
- Em Permissões Configuradas, selecione Adicionar uma permissão.
- Selecione a guia Minhas APIs.
- Selecione a API à qual o aplicativo Web deve receber acesso. Por exemplo, webapi1.
- Em Permissão, expanda demonstração e, em seguida, selecione os escopos definidos anteriormente. Por exemplo, demo.read e demo.write.
- Selecione Adicionar Permissões.
- Selecione Fornecer o consentimento do administrador para (nome do seu locatário) .
- Se for solicitado a selecionar uma conta, selecione a conta de administrador conectada no momento ou entre com uma conta no seu locatário do Azure AD B2C que tenha recebido, pelo menos, a função Administrador de aplicativos de nuvem.
- Selecione Sim na barra superior.
- Selecione Atualizar e, em seguida, verifique se "Concedido para..." aparece em Status para ambos os escopos.
Seu aplicativo é registrado para chamar a API Web protegida. Um usuário autentica-se com o Azure AD B2C para usar o aplicativo. O aplicativo obtém uma concessão de autorização do Azure AD B2C para acessar a API Web protegida.