準備外部租使用者以在 Node.js Web 應用程式中呼叫 API

適用於：具有灰色 X 符號的白色圓圈 勞動力租戶外部租戶 （了解更多）

在這篇文章中，您將為外部租用戶進行授權準備。 本文是四部分指南的第一個部分。

先決條件

• 完成 教學課程：使用 Microsoft 身分識別平臺設定 Node.js Web 應用程式來登入使用者。

• 在外部租戶中註冊 ASP.NET Web API 的 教學課程，完成的步驟。 完成本教學課程之後，您會在客戶租用戶的環境中註冊 Web API，藉此公開 API 許可權並發佈應用程式角色。 您也有安全的 Web API。 您可以從用戶端應用程式呼叫此 Web API。

設定 idtyp 令牌宣告 [選擇性]

您可以新增 idtyp 選擇性宣告，以協助 Web API 判斷令牌是 應用程式 令牌還是 應用程式 + 使用者 令牌。 雖然您可以使用 scp 和 角色的組合進行 宣告來達到相同目的，但使用 idtyp 宣告是區分應用程式令牌與應用程式 + 使用者令牌最簡單的方法。 例如，當令牌是僅限應用程式的令牌時，此宣告的值會是 應用程式。

請使用 設定選擇性宣告 文章中的步驟，將 idtyp 宣告添加到存取權杖中：

• 針對 [令牌類型]，選取 [Access]。
• 從可選項目清單中，選取 idtyp。

將 API 許可權授與 Web 應用程式

依據必要條件，您已在客戶的租戶中註冊了客戶端應用程式。 您也已在客戶中註冊 Web API 應用程式。 現在，您必須將 API 許可權授與用戶端應用程式：

1. 從 [應用程式註冊] 頁面中，選取您建立的應用程式（例如 ciam-client-app），以開啟其 [概觀] 頁面。

2. 在 [管理] 下，選取 [API 許可權]。

3. 在 [設定的許可權] 下，選取 [新增許可權]。

4. 選取 API，[我的組織使用] 索引標籤。

5. 在 API 清單中，選取 api，例如 ciam-ToDoList-api。

6. 選取 委派的許可權 選項。

7. 從許可權清單中，選取 [ToDoList.Read、ToDoList.ReadWrite （如有必要，請使用搜尋方塊）。

8. 選取 新增許可權 按鈕。

9. 此時，您已正確指派權限。 不過，由於租戶是客戶的租戶，因此使用者本身無法同意這些權限。 若要解決此問題，身為系統管理員必須代表租使用者中的所有使用者同意這些許可權：

   1. 選取 [授與系統管理員同意給 <你的租使用者名稱>]，然後選取 [是] 。

   2. 選取 [重新整理]，然後確認租用戶名稱 <授與 > 出現在兩個許可權 狀態 底下。

10. 從 [設定的許可權] 清單中，依次選取 ToDoList.Read 和 ToDoList.ReadWrite 許可權，然後複製每個許可權的完整 URI 以供日後使用。 完整許可權 URI 看起來與 api://{clientId}/{ToDoList.Read} 或 api://{clientId}/{ToDoList.ReadWrite}類似。

下一步

接下來，瞭解如何準備 Web 應用程式和 API。

開始建置 Web 應用程式和 API