Быстрый старт: Вызов веб-API, защищенного платформой идентификации Microsoft

применяется к: арендаторы рабочей силы внешние клиенты (подробнее)

В этом кратком руководстве вы используете примерное веб-приложение, чтобы показать, как защитить веб-API ASP.NET с помощью платформы удостоверений Microsoft. В этом примере для обработки проверки подлинности используется библиотека проверки подлинности Майкрософт (MSAL).

Необходимые условия

• Учетная запись Azure с активной подпиской. Создайте аккаунт бесплатно.
• Visual Studio 2022. Скачайте Visual Studio бесплатно.

Регистрация приложения веб-API

Чтобы завершить регистрацию, укажите имя приложения и укажите поддерживаемые типы учетных записей. После регистрации, на странице обзора приложения отображаются идентификаторы, необходимые в исходном коде приложения.

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум одного разработчика приложений.

2. Если у вас есть доступ к нескольким клиентам, используйте значок в верхнем меню, чтобы переключиться на клиента, в котором вы хотите зарегистрировать приложение из меню Директории + подписки.

3. Перейдите к идентификация>приложения>регистрация приложений.

4. Выберите Новая регистрация.

5. Введите имя для приложения, например NewWebAPI1.

6. Для поддерживаемых типов учетных записейвыберите учетные записи в этом каталоге организации только. Для получения сведений о различных типах учетных записей выберите Помощь в выборе.

7. Выберите Зарегистрировать.

   

8. При завершении регистрации отображается панель обзора приложения . Запишите идентификатор каталога (клиента) и идентификатор приложения (клиента), который будет использоваться в исходном коде приложения.

   

Заметка

Поддерживаемые типы учетных записей можно изменить, ссылаясь на Изменить учетные записи, поддерживаемые приложением.

Предоставление API

После регистрации API можно настроить его разрешение, определив области, предоставляемые API клиентским приложениям. Клиентские приложения запрашивают разрешение на выполнение операций, передав маркер доступа вместе с его запросами к защищенному веб-API. Затем веб-API выполняет запрошенную операцию только в том случае, если полученный маркер доступа содержит необходимые области.

ASP.NET

1. В разделе Управлениевыберите Открыть API>Добавить область действия. Примите предлагаемый URI идентификатора приложения (api://{clientId}), выбрав Сохранить и продолжить, а затем введите следующие сведения:

   1. Для имени областивведите access_as_user.
   2. Для "Кто может давать согласие", убедитесь, что выбран параметр "Администраторы и пользователи".
   3. В поле Имя отображаемое для согласия администратора введите Access TodoListService as a user.
   4. В поле описания согласия администратора введите Accesses the TodoListService web API as a user.
   5. В поле "Отображаемое имя согласия пользователя", введите Access TodoListService as a user.
   6. В поле описание согласия пользователя введите Accesses the TodoListService web API as a user.
   7. Для состояния держите включённым.

2. Выберите Добавить область.

ASP.NET CORE

1. В разделе Управлениевыберите Открыть API > Добавить сферу. Примите предлагаемый URI идентификатора приложения (api://{clientId}), выбрав "Сохранить и продолжить" . {clientId} — это значение, записанное на странице обзора . Затем введите следующие сведения:

   1. Для имени областивведите Forecast.Read.
   2. Чтобы Кто может дать согласие, убедитесь, что выбран параметр Администраторы и пользователи.
   3. В поле согласия администратора введите Read forecast data.
   4. В поле описания согласия администратора введите Allows the application to read weather forecast data.
   5. В поле отображаемое имя согласия пользователя введите Read forecast data.
   6. Поле Описание согласия пользователя введите Allows the application to read weather forecast data.
   7. Убедитесь, что для состояния задано значение Включено.

2. Выберите Добавить область. Если область действия введена правильно, она указана в панели Expose an API.

   

Клонирование или скачивание примера приложения

Чтобы получить пример приложения, можно клонировать его из GitHub или скачать его в виде файла .zip.

ASP.NET

git clone https://github.com/AzureADQuickStarts/AppModelv2-NativeClient-DotNet.git

• Скачать его в виде ZIP-файла.

совет

Чтобы избежать ошибок, вызванных ограничениями длины пути в Windows, рекомендуется извлечь архив или клонировать репозиторий в каталог рядом с корнем диска.

ASP.NET CORE

git clone https://github.com/Azure-Samples/ms-identity-docs-code-dotnet.git

• Скачайтефайл .zip. Извлеките его в путь к файлу, где длина имени меньше 260 символов.

Настройка примера приложения

Настройте пример кода для сопоставления зарегистрированного веб-API.

ASP.NET

1. Откройте решение в Visual Studio и откройте файл appsettings.json в корне проекта TodoListService.

2. Замените значение Enter_the_Application_Id_here значением идентификатора клиента (идентификатор приложения) из приложения, зарегистрированного на портале приложений, портале как в ClientID, так и в свойствах Audience.

Добавление новой области в файл app.config

Чтобы добавить новую область в файл TodoListClient app.config, выполните следующие действия:

1. В корневой папке проекта TodoListClient откройте файл app.config.

2. Вставьте идентификатор приложения из приложения, зарегистрированного для проекта TodoListService, в параметре TodoListServiceScope, заменив строку {Enter the Application ID of your TodoListService from the app registration portal}.

Заметка

Убедитесь, что идентификатор приложения использует следующий формат: api://{TodoListService-Application-ID}/access_as_user (где {TodoListService-Application-ID} — guid, представляющий идентификатор приложения для приложения TodoListService).

Регистрация веб-приложения (TodoListClient)

Зарегистрируйте приложение TodoListClient в разделе регистрации приложений на портале Azure, а затем сконфигурируйте код в проекте TodoListClient. Если клиент и сервер считаются одним и тем же приложением, можно повторно использовать приложение, зарегистрированное на шаге 2. Используйте то же приложение, если вы хотите, чтобы пользователи входить с помощью личной учетной записи Майкрософт.

Регистрация приложения

Чтобы зарегистрировать приложение TodoListClient, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора облачных приложений.

2. Перейдите к Identity>Приложения>Регистрация приложений и выберите Новый регистрация.

3. Выберите Новая регистрация.

4. Когда откроется страница регистрации приложения, введите сведения о регистрации приложения:

   1. В разделе Имя введите осмысленное имя приложения, которое будет отображаться пользователям (например, NativeClient-DotNet-TodoListClient).
   2. Для поддерживаемых типов учетных записейвыберите Учетные записи в любом каталоге организации.
   3. Выберите Регистр, чтобы создать приложение.

   Заметка

   В файле app.config проекта TodoListClient значение по умолчанию ida:Tenant имеет значение common. Возможные значения:

   • common. Вы можете войти с помощью рабочей или учебной учетной записи или личной учетной записи Майкрософт (так как вы выбрали учетные записи в любом каталоге организации на предыдущем шаге).
   • organizations. Вы можете войти с помощью рабочей или учебной учетной записи.
   • consumers. Вы можете войти только с помощью личной учетной записи Майкрософт.

5. На странице Обзор приложения выберите Аутентификация, а затем выполните следующие действия для добавления платформы:

   1. Во вкладке Конфигурации платформынажмите кнопку Добавить платформу.
   2. Для мобильных и классических приложенийвыберите мобильных и классических приложений.
   3. Для перенаправления URI выберите флажок https://login.microsoftonline.com/common/oauth2/nativeclient.
   4. Выберите и настройте.

6. Выберите разрешения API, а затем выполните следующие действия, чтобы добавить разрешения:

   1. Нажмите кнопку Добавить разрешение.
   2. Перейдите на вкладку "Мои API-интерфейсы".
   3. В списке API выберите AppModelv2-NativeClient-DotNet-TodoListService API или имя, введенное для веб-API.
   4. Выберите флажок проверки разрешения access_as_user, если он еще не установлен. При необходимости используйте поле поиска.
   5. Нажмите кнопку Добавить разрешения.

Настройка проекта

Настройте проект TodoListClient, добавив идентификатор приложения в файл app.config.

1. На портале регистрации приложений на странице Обзор скопируйте идентификатор приложения (клиента) .

2. В корневой папке проекта TodoListClient откройте файл app.config, а затем вставьте значение идентификатора приложения в параметр ida:ClientId.

ASP.NET CORE

1. В интегрированной среде разработки откройте папку проекта, ms-identity-docs-code-dotnet/web-api, содержащую пример.

2. Откройте файл appsettings.json, содержащий следующий фрагмент кода:

   {
     "AzureAd": {
       "Instance": "https://login.microsoftonline.com/", //For external tenants, use instance in the form of "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/"
       "TenantId": "Enter the tenant ID obtained from the Microsoft Entra admin center",
       "ClientId": "Enter the client ID obtained from the Microsoft Entra admin center",
       "Scopes": "Forecast.Read"
     },
     "Logging": {
       "LogLevel": {
         "Default": "Information",
         "Microsoft.AspNetCore": "Warning"
       }
     },
     "AllowedHosts": "*"
   }
   

   Найдите следующие key:

   • ClientId — идентификатор приложения, который также называется клиентом. Замените текст value в кавычках на идентификатор приложения (клиента) , записанный ранее на странице Обзор зарегистрированного приложения.
   • TenantId — идентификатор клиента, в котором зарегистрировано приложение. Замените текст value в кавычках идентификатором Директории (арендатора), записанным ранее на странице "Обзор" зарегистрированного приложения.

Запуск примера приложения

ASP.NET

Запустите оба проекта. Для пользователей Visual Studio;

1. Щелкните правой кнопкой мыши на решении Visual Studio и выберите Свойства

2. В Общие свойства выберите Проект запуска, а затем Несколько проектов запуска.

3. Для обоих проектов в качестве действия выберите Пуск

4. Убедитесь, что служба TodoListService начинается сначала, переместив ее на первую позицию в списке, используя стрелку вверх.

Войдите, чтобы запустить проект TodoListClient.

1. Нажмите клавишу F5, чтобы запустить проекты. Откроется страница службы, а также настольное приложение.

2. В клиенте TodoListClient в правом верхнем углу выберите Войтии войдите с теми же учетными данными, которые вы использовали для регистрации приложения, или войдите как пользователь в том же каталоге.

   Если вы впервые вошли, вам может потребоваться предоставить согласие на веб-API TodoListService.

   Чтобы получить доступ к веб-API TodoListService и управлять списком To-Do, вход также запрашивает токен доступа для области доступа как пользователь access_as_user.

Предварительная авторизация клиентского приложения

Вы можете разрешить пользователям из других каталогов доступ к веб-API путем предварительной авторизации клиентского приложения для доступа к веб-API. Для этого добавьте идентификатор приложения из клиентского приложения в список предварительно авторизованных приложений для веб-API. Добавив предварительно авторизованный клиент, вы разрешаете пользователям получать доступ к веб-API без предоставления согласия.

1. На портале регистрации приложений откройте свойства приложения TodoListService.
2. В разделе Открытие API, в подразделе Авторизованные клиентские приложения, выберите Добавить клиентское приложение.
3. В поле Идентификатор клиента вставьте идентификатор приложения TodoListClient.
4. В разделе Авторизованные области выберите область для веб-API api://<Application ID>/access_as_user.
5. Выберите Добавить приложение.

Запуск проекта

1. Нажмите клавишу F5 , чтобы запустить проект. Ваше приложение TodoListClient открывается.
2. В правом верхнем углу выберите Войти, а затем войдите, используя личную учетную запись Майкрософт, например, учетную запись live.com или hotmail.com, либо рабочую или учебную учетную запись.

Необязательно. Ограничение доступа к входу определенным пользователям

По умолчанию любые личные учетные записи, такие как outlook.com или live.com учетные записи, рабочие или учебные учетные записи из организаций, интегрированных с идентификатором Microsoft Entra, могут запрашивать маркеры и получать доступ к веб-API.

Чтобы указать, кто может войти в приложение, измените свойство TenantId в файле appsettings.json.

ASP.NET CORE

1. Выполните следующую команду, чтобы запустить приложение:

   dotnet run
   

2. Отображаются выходные данные, как показано в следующем примере:

   ...
   info: Microsoft.Hosting.Lifetime[14]
         Now listening on: http://localhost:{port}
   ...
   

   Запишите номер порта в URL-адресе http://localhost:{port}.

3. Чтобы убедиться, что конечная точка защищена, обновите базовый URL-адрес в следующей команде cURL, чтобы она соответствовала полученной на предыдущем шаге, а затем выполните команду:

   curl -X GET https://localhost:5001/weatherforecast -ki
   

   Ожидаемый ответ — 401 Неавторизованный с выходными данными, похожими на следующие:

   user@host:~$ curl -X GET https://localhost:5001/weatherforecast -ki
   HTTP/2 401
   date: Fri, 23 Sep 2023 23:34:24 GMT
   server: Kestrel
   www-authenticate: Bearer
   content-length: 0
   

Дальнейшие действия

ASP.NET

Дополнительные сведения см. в следующем руководстве по созданию защищенного веб-API ASP.NET Core:

Руководство по защищенному веб-API

ASP.NET CORE

Перейдите к следующей статье, чтобы узнать, как вызвать защищенный веб-API с помощью cURL.

Как: вызвать веб-API ASP.NET Core с помощью cURL