Konfigurowanie menedżera poświadczeń — interfejs API programu Microsoft Graph

DOTYCZY: Wszystkie warstwy usługi API Management

Ten artykuł przeprowadzi Cię przez kroki wymagane do utworzenia zarządzanego połączenia z interfejsem API programu Microsoft Graph w usłudze Azure API Management. Typ udzielania kodu autoryzacji jest używany w tym przykładzie.

Dowiedz się, jak odbywa się:

Wymagania wstępne

• Dostęp do dzierżawy firmy Microsoft Entra, w której masz uprawnienia do tworzenia rejestracji aplikacji i udzielania zgody administratora na uprawnienia aplikacji. Dowiedz się więcej

  Jeśli chcesz utworzyć własną dzierżawę deweloperów, możesz zarejestrować się w programie deweloperów platformy Microsoft 365.

• Uruchomione wystąpienie usługi API Management. Jeśli chcesz, utwórz wystąpienie usługi Azure API Management.

• Włącz tożsamość zarządzaną przypisaną przez system dla usługi API Management w wystąpieniu usługi API Management.

Krok 1. Tworzenie aplikacji Firmy Microsoft Entra

Utwórz aplikację Microsoft Entra dla interfejsu API i nadaj jej odpowiednie uprawnienia dla żądań, które chcesz wywołać.

1. Zaloguj się do witryny Azure Portal przy użyciu konta z wystarczającymi uprawnieniami w dzierżawie.

2. W obszarze Usługi platformy Azure wyszukaj ciąg Microsoft Entra ID.

3. W menu po lewej stronie wybierz pozycję Rejestracje aplikacji, a następnie wybierz pozycję + Nowa rejestracja.

4. Na stronie Rejestrowanie aplikacji wprowadź ustawienia rejestracji aplikacji:

   1. W polu Nazwa wprowadź zrozumiałą nazwę, która będzie wyświetlana użytkownikom aplikacji, na przykład MicrosoftGraphAuth.

   2. W obszarze Obsługiwane typy kont wybierz opcję, która odpowiada Twojemu scenariuszowi, na przykład Konta w tym katalogu organizacyjnym (tylko jedna dzierżawa).

   3. Ustaw identyfikator URI przekierowania na Sieć Web, a następnie wprowadź https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>ciąg , zastępując nazwę usługi API Management, w której skonfigurujesz dostawcę poświadczeń.

   4. Wybierz pozycję Zarejestruj.

      

5. W menu po lewej stronie wybierz pozycję Uprawnienia interfejsu API, a następnie wybierz pozycję + Dodaj uprawnienie.

   1. Wybierz pozycję Microsoft Graph, a następnie wybierz pozycję Delegowane uprawnienia.

      Uwaga

      Upewnij się, że uprawnienie User.Read z typem Delegowane zostało już dodane.

   2. Wpisz Team, rozwiń opcje Zespół , a następnie wybierz pozycję Team.ReadBasic.All. Wybierz Przyznaj uprawnienia.
   3. Następnie wybierz pozycję Udziel zgody administratora dla katalogu domyślnego. Stan uprawnień zmienia się na Udzielono dla katalogu domyślnego.

6. W menu po lewej stronie wybierz pozycję Przegląd. Na stronie Przegląd znajdź wartość Identyfikator aplikacji (klienta) i zapisz ją do użycia w kroku 2.

7. W menu po lewej stronie wybierz pozycję Certyfikaty i wpisy tajne, a następnie wybierz pozycję + Nowy klucz tajny klienta.
   

   1. Wprowadź opis.
   2. Wybierz opcję Wygasa.
   3. Wybierz Dodaj.
   4. Skopiuj wartość wpisu tajnego klienta przed opuszczeniem strony. Będzie ona potrzebna w kroku 2.

Krok 2. Konfigurowanie dostawcy poświadczeń w usłudze API Management

1. Zaloguj się do portalu i przejdź do wystąpienia usługi API Management.

2. W menu po lewej stronie wybierz pozycję Menedżer poświadczeń, a następnie wybierz pozycję + Utwórz.
   

3. Na stronie Tworzenie dostawcy poświadczeń wprowadź następujące ustawienia, a następnie wybierz pozycję Utwórz:

   Ustawienia	Wartość
   Nazwa dostawcy poświadczeń	Wybrana nazwa, na przykład MicrosoftEntraID-01
   Dostawca tożsamości	Wybieranie usługi Azure Active Directory w wersji 1
   Typ udzielenia	Wybieranie kodu autoryzacji
   Adres URL autoryzacji	Opcjonalnie dla dostawcy tożsamości Firmy Microsoft Entra. Wartość domyślna to https://login.microsoftonline.com.
   Client ID	Wklej skopiowaną wcześniej wartość z rejestracji aplikacji
   Klucz tajny klienta	Wklej skopiowaną wcześniej wartość z rejestracji aplikacji
   Adres URL zasobu	https://graph.microsoft.com
   Identyfikator dzierżawy	Opcjonalnie dla dostawcy tożsamości Firmy Microsoft Entra. Wartość domyślna to Typowe.
   Zakresy	Opcjonalnie dla dostawcy tożsamości Firmy Microsoft Entra. Automatycznie konfigurowane na podstawie uprawnień interfejsu API aplikacji Entra firmy Microsoft.

Krok 3. Konfigurowanie połączenia

Na karcie Połączenie ion wykonaj kroki połączenia z dostawcą.

1. Wprowadź nazwę Połączenie ion, a następnie wybierz pozycję Zapisz.
2. W obszarze Krok 2. Zaloguj się do połączenia (w celu udzielenia kodu autoryzacji) wybierz link, aby zalogować się do dostawcy poświadczeń. Wykonaj kroki, aby autoryzować dostęp i wrócić do usługi API Management.
3. W obszarze Krok 3. Określ, kto będzie miał dostęp do tego połączenia (zasady dostępu), zostanie wyświetlony element członkowski tożsamości zarządzanej. Dodawanie innych członków jest opcjonalne w zależności od scenariusza.
4. Wybierz pozycję Ukończono.

Nowe połączenie zostanie wyświetlone na liście połączeń i zostanie wyświetlony stan Połączenie. Jeśli chcesz utworzyć inne połączenie dla dostawcy poświadczeń, wykonaj powyższe kroki.

Krok 4. Tworzenie interfejsu API programu Microsoft Graph w usłudze API Management i konfigurowanie zasad

1. Zaloguj się do portalu i przejdź do wystąpienia usługi API Management.

2. W menu po lewej stronie wybierz pozycję Interfejsy > API + Dodaj interfejs API.

3. Wybierz pozycję HTTP i wprowadź następujące ustawienia. Następnie wybierz Utwórz.

   Ustawienie	Wartość
   Nazwa wyświetlana	msgraph
   Adres URL usługi sieci Web	https://graph.microsoft.com/v1.0
   Sufiks adresu URL interfejsu API	msgraph

4. Przejdź do nowo utworzonego interfejsu API i wybierz pozycję Dodaj operację. Wprowadź następujące ustawienia i wybierz pozycję Zapisz.

   Ustawienie	Wartość
   Nazwa wyświetlana	Getprofile
   Adres URL get	/Me

5. Wykonaj powyższe kroki, aby dodać kolejną operację z następującymi ustawieniami.

   Ustawienie	Wartość
   Nazwa wyświetlana	getJoinedTeams
   Adres URL get	/me/joinedTeams

6. Wybierz opcję Wszystkie operacje. W sekcji Przetwarzanie przychodzące wybierz ikonę (</>) (edytor kodu).

7. Skopiuj i wklej poniższy fragment kodu. get-authorization-context Zaktualizuj zasady przy użyciu nazw dostawcy poświadczeń i połączenia skonfigurowanego w poprzednich krokach, a następnie wybierz pozycję Zapisz.

   • Zastąp nazwę dostawcy poświadczeń wartością provider-id
   • Zastąp nazwę połączenia wartością authorization-id

   <policies>
       <inbound>
           <base />
           <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
          <set-header name="Authorization" exists-action="override">
              <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
          </set-header>
       </inbound>
       <backend>
           <base />
       </backend>
       <outbound>
           <base />
       </outbound>
       <on-error>
           <base />
       </on-error>
   </policies>
   

Poprzednia definicja zasad składa się z dwóch części:

• Zasady get-authorization-context pobiera token autoryzacji, odwołując się do dostawcy poświadczeń i połączenia, które zostały utworzone wcześniej.
• Zasady set-header tworzą nagłówek HTTP z pobranym tokenem dostępu.

Krok 5. Testowanie interfejsu API

1. Na karcie Test wybierz jedną skonfigurowaną operację.

2. Wybierz Wyślij.

   

   Pomyślna odpowiedź zwraca dane użytkownika z programu Microsoft Graph.

Powiązana zawartość

• Dowiedz się więcej o zasadach uwierzytelniania i autoryzacji w usłudze Azure API Management.
• Dowiedz się więcej o zakresach i uprawnieniach w identyfikatorze Entra firmy Microsoft.