Konfigurieren des Anmeldeinformations-Managers – Microsoft Graph-API

GILT FÜR: Alle API Management-Ebenen

In diesem Artikel werden Sie durch die Schritte geführt, die zum Erstellen einer verwalteten Verbindung mit der Microsoft Graph-API in Azure API Management erforderlich sind. Verwenden Sie den Microsoft Entra-Identitätsanbieter, um die Microsoft Graph-API aufzurufen. In diesem Beispiel wird der Autorisierungscode Grant Type verwendet.

Hier erfahren Sie, wie Sie:

Erstellen einer Microsoft Entra-Anwendung
Erstellen und Konfigurieren eines Anbieters von Anmeldedaten im API-Management
Konfigurieren einer Verbindung
Erstellen einer Microsoft Graph-API in der API-Verwaltung und Konfigurieren einer Richtlinie
Testen der Microsoft Graph-API in API Management

Voraussetzungen

Zugriff auf einen Microsoft Entra-Mandanten, in dem Sie über Berechtigungen zum Erstellen einer App-Registrierung verfügen und um Administratorzustimmung für die Berechtigungen der App zu erteilen. Weitere Informationen finden Sie unter Einschränken, wer Anwendungen erstellen kann.

Wenn Sie Ihren eigenen Entwicklermandanten erstellen möchten, können Sie sich für das Microsoft 365-Entwicklerprogramm registrieren.
Eine ausgeführte API-Verwaltungsinstanz. Wenn Sie keine haben, siehe Erstellen einer neuen Instanz von Azure API Management.
Aktivieren Sie eine vom System zugewiesene verwaltete Identität in der API-Verwaltungsinstanz.

Schritt 1: Erstellen einer Microsoft Entra-Anwendung

Erstellen Sie eine Microsoft Entra-Anwendung für die API, und geben Sie ihm die entsprechenden Berechtigungen für die Anforderungen, die Sie aufrufen möchten.

Melden Sie sich beim Azure-Portal mit einem Konto mit ausreichenden Berechtigungen im Mandanten an.
Suchen Sie nach Microsoft Entra ID, und wählen Sie es aus.
Wählen Sie unter "Verwalten " im Randleistenmenü "App-Registrierungen" und dann +Neue Registrierung aus.
Geben Sie bei der Registrierung einer Anwendung Ihre Anwendungsregistrierungseinstellungen ein:
1. Geben Sie im Namen einen aussagekräftigen Namen für die App ein, z. B. MicrosoftGraphAuth.
2. Wählen Sie in Unterstützte Kontotypen eine Option aus, die Ihrem Szenario entspricht, z. B. Konten in diesem Organisations-Verzeichnis (nur Einzelner Mandant).
3. Legen Sie den Umleitungs-URI auf Web fest, und geben Sie https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME> ein, und ersetzen Sie den Namen des API Management-Diensts, in dem Sie den Anbieter der Anmeldeinformationen konfigurieren werden.
4. Wählen Sie Registrieren aus.
Wählen Sie im Menü "Randleiste" die Option"API-Berechtigungen verwalten>" aus. Stellen Sie sicher, dass die Berechtigung User.Read mit dem Typ "Delegierte" bereits hinzugefügt wurde.
Wählen Sie +Berechtigung hinzufügen aus.
1. Wählen Sie Microsoft Graph und dann delegierte Berechtigungen aus.
2. Geben Sie "Team" ein, erweitern Sie die Teamoptionen , und wählen Sie dann "Team.ReadBasic.All" aus. Wählen Sie "Berechtigungen hinzufügen" aus.
3. Wählen Sie als Nächstes " Administratorzustimmung für Standardverzeichnis erteilen" aus. Der Status der Berechtigungen wird auf Erteilt für Standardverzeichnis geändert.
Wählen Sie im Randleistenmenü die Option "Übersicht" aus. Suchen Sie im Überblick den Wert der Anwendungs-ID (Client-ID), und notieren Sie diesen für die Verwendung in Schritt 2.
Wählen Sie im Randleistenmenü "Zertifikate und Geheime Schlüssel>" und dann "+Neuer geheimer Clientschlüssel" aus.
1. Geben Sie eine Beschreibung ein.
2. Wählen Sie eine Option für Gültig bis aus.
3. Wählen Sie Hinzufügen aus.
4. Kopieren Sie den Wert des geheimen Clientschlüssels, bevor Sie die Seite verlassen. Sie benötigen ihn in Schritt 2.

Schritt 2: Konfigurieren eines Anbieters von Anmeldeinformationen in API Management

Wechseln Sie zu Ihrer API-Verwaltungsinstanz.
Wählen Sie unter APIs im Randleistenmenü die Option "Anmeldeinformationsverwaltung" und dann "+Erstellen" aus.

Geben Sie unter "Anmeldeinformationsanbieter erstellen" die folgenden Einstellungen ein, und wählen Sie "Erstellen" aus:

Einstellungen	Wert
Name des Anmeldeinformationsanbieters	Ein Name Ihrer Wahl, z. B. MicrosoftEntraID-01
Identitätsanbieter	Azure Active Directory v1 auswählen
Grant-Typ	Autorisierungscode auswählen
Autorisierungs-URL	Optional für Den Microsoft Entra-Identitätsanbieter. Der Standardwert ist `https://login.microsoftonline.com`.
Client-ID	Fügen Sie den Zuvor kopierten Wert aus der App-Registrierung ein.
Geheimer Clientschlüssel	Fügen Sie den Zuvor kopierten Wert aus der App-Registrierung ein.
Ressourcen-URL	`https://graph.microsoft.com`
Mandanten-ID	Optional für Den Microsoft Entra-Identitätsanbieter. Der Standardwert ist "Allgemein".
Bereiche	Optional für Den Microsoft Entra-Identitätsanbieter. Automatisch über die API-Berechtigungen der Microsoft Entra-App konfiguriert.

Wählen Sie "Erstellen" aus.
Wenn Sie dazu aufgefordert werden, überprüfen Sie die angezeigte OAuth-Umleitungs-URL, und wählen Sie "Ja " aus, um zu bestätigen, dass sie mit der URL übereinstimmt, die Sie in der App-Registrierung eingegeben haben.

Schritt 3: Konfigurieren einer Verbindung

Führen Sie auf der Registerkarte "Verbindung " die Schritte für Ihre Verbindung mit dem Anbieter aus.

Hinweis

Wenn Sie eine Verbindung konfigurieren, richtet die API-Verwaltung standardmäßig eine Zugriffsrichtlinie ein, die den Zugriff durch die vom System zugewiesene verwaltete Identität der Instanz ermöglicht. Dieser Zugriff ist für dieses Beispiel ausreichend. Sie können bei Bedarf weitere Zugriffsrichtlinien hinzufügen.

Geben Sie einen Verbindungsnamen ein, und wählen Sie dann "Speichern" aus.
Wählen Sie unter Schritt 2: Bei Ihrer Verbindung anmelden (für den Autorisierungscode-Erteilungstyp) die Schaltfläche Anmelden. Führen Sie die Schritte mit Ihrem Identitätsanbieter aus, um den Zugriff zu autorisieren und zur API-Verwaltung zurückzukehren.
Unter Schritt 3: Ermitteln, wer Zugriff auf diese Verbindung hat (Access-Richtlinie), wird das mitglied der verwalteten Identität aufgeführt. Das Hinzufügen anderer Mitglieder ist je nach Szenario optional.
Wählen Sie Complete (Fertig stellen) aus.

Die neue Verbindung wird in der Liste der Verbindungen angezeigt und zeigt den Status "Verbunden" an. Wenn Sie eine weitere Verbindung für den Anmeldeinformationsanbieter einrichten möchten, führen Sie die vorherigen Schritte aus.

Tipp

Verwenden Sie das Portal, um jederzeit Verbindungen zu einem Anmeldeinformationsanbieter hinzuzufügen, zu aktualisieren oder zu löschen. Weitere Informationen finden Sie unter Konfigurieren mehrerer Verbindungen.

Hinweis

Wenn Sie Ihre Microsoft Graph-Berechtigungen nach diesem Schritt aktualisieren, müssen Sie die Schritte 2 und 3 wiederholen.

Schritt 4: Erstellen einer Microsoft Graph-API in der API-Verwaltung und Konfigurieren einer Richtlinie

Wählen Sie unter "APIs " im Randleistenmenü APIs aus.
Wählen Sie HTTP aus, und geben Sie die folgenden Einstellungen ein. Wählen Sie dann Erstellen aus.

Setting Wert

Anzeigename msgraph

Webdienst-URL https://graph.microsoft.com/v1.0

API-URL-Suffix msgraph
Navigieren Sie zur neu erstellten API, und wählen Sie "+Hinzufügen"-Vorgang aus. Geben Sie die folgenden Einstellungen ein, und wählen Sie "Speichern" aus.

Setting Wert

Anzeigename getprofile

URL für GET /Ich
Führen Sie die vorstehenden Schritte aus, um einen weiteren Vorgang mit den folgenden Einstellungen hinzuzufügen.

Setting Wert

Anzeigename getJoinedTeams

URL für GET /me/angeschlosseneTeams
Wählen Sie "Alle Vorgänge" aus. Wählen Sie im Abschnitt "Eingehende Verarbeitung " das <Symbol "/> " (Code-Editor) aus.

Setting	Wert
Anzeigename	msgraph
Webdienst-URL	`https://graph.microsoft.com/v1.0`
API-URL-Suffix	msgraph

Setting	Wert
Anzeigename	getprofile
URL für GET	/Ich

Setting	Wert
Anzeigename	getJoinedTeams
URL für GET	/me/angeschlosseneTeams

Kopieren Sie den folgenden Codeausschnitt, und fügen Sie ihn ein. Aktualisieren Sie die get-authorization-context Richtlinie mit den Namen des Anmeldeinformationsanbieters und der Verbindung, die Sie in den vorherigen Schritten konfiguriert haben, und wählen Sie "Speichern" aus.

Ersetzen Sie den Namen Ihres Anmeldeinformationsanbieters mit dem Wert von provider-id
Ersetzen Sie Ihren Verbindungsnamen durch den Wert von authorization-id

<policies>
    <inbound>
        <base />
        <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
       <set-header name="Authorization" exists-action="override">
           <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
       </set-header>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

Die vorangehende Richtliniendefinition besteht aus zwei Teilen:

Die Richtlinie get-authorization-context ruft ein Autorisierungstoken ab, indem sie auf den Authentifizierungstokenanbieter und die Verbindung referenziert, die Sie zuvor erstellt haben.
Die Set-Header-Richtlinie erstellt einen HTTP-Header mit dem abgerufenen Zugriffstoken.

Schritt 5: Testen der API

Wählen Sie auf der Registerkarte " Test " einen von Ihnen konfigurierten Vorgang aus.
Wählen Sie "Senden" aus.

Eine erfolgreiche Antwort gibt Benutzerdaten aus Microsoft Graph zurück.

Feedback

War diese Seite hilfreich?

Last updated on 2025-12-09