Freigeben über

Authentifizieren Sie Ihre API und Ihren Konnektor mit Microsoft Entra ID

Azure Resource Manager ermöglicht es Ihnen, die Komponenten einer Lösung auf Azure zu verwalten (Komponenten wie Datenbanken, virtuelle Computer und Webanwendungen). In diesem Lernprogramm wird gezeigt, wie Sie die Authentifizierung in Microsoft Entra ID aktivieren, eine der Ressourcemanager-APIs als benutzerdefinierten Konnektor registrieren und dann in Power Automate eine Verbindung zu diesem Konnektor herstellen. Sie können den benutzerdefinierten Connector auch für Power Apps oder Azure Logic Apps oder einen benutzerdefinierten KI-fähigen Connector für Microsoft Copilot Studio erstellen.

Der Prozess, den Sie in diesem Tutorial verfolgen, kann für den Zugriff auf jede RESTful-API verwendet werden, die mit Microsoft Entra ID authentifiziert ist.

Anforderungen

Authentifizierung in Microsoft Entra ID aktivieren

Zuerst erstellen Sie eine Microsoft Entra ID-Anwendung, die die Authentifizierung beim Aufruf des Resource Manager API-Endpunkts durchführt.

  1. Melden Sie sich am Azure-Portal an. Wenn Sie mehr als einen Microsoft Entra ID-Mandanten haben, vergewissern Sie sich, dass Sie im richtigen Verzeichnis angemeldet sind, indem Sie Ihren Benutzernamen in der oberen rechten Ecke ansehen.

    Screenshot des Benutzernamens, der im Azure-Portal angezeigt wird.

  2. Wählen Sie im linken Bereich Alle Services aus. Geben Sie in das Filtern-Feld Azure Active Directory ein und wählen Sie dann Azure Active Directory.

    Screenshot von Azure Active Directory in der Dienstliste.

    Das Azure Active Directory-Blatt öffnet sich.

  3. Wählen Sie im linken Bereich des Azure Active Directory-Blatts App-Registrierungen aus.

  4. Wählen Sie in der Liste der registrierten Anwendungen Neue Anwendungsregistrierung.

  5. Geben Sie einen Namen für Ihre Anwendung ein, und belassen Sie den Anwendungstyp als Web-App/API.

    Screenshot des Formulars für die Registrierung einer neuen Anwendung.

  6. Kopieren Sie die Anwendungs-ID, da Sie sie später benötigen.

  7. Wählen Sie im linken Bereich des „Verwalten“-Blades „API-Berechtigungen“ aus. Wählen Sie dann " Berechtigung hinzufügen" aus.

    Screenshot der Seite

    Der Bereich „API-Berechtigungen anfordern“ wird geöffnet.

  8. Unter Delegierte Berechtigungen wählen Sie Zugriff auf Azure Service Management als Organisationsbenutzer>Auswählen aus.

    Screenshot der Auswahl delegierter Berechtigungen.

  9. Wählen Sie auf dem Blatt " API-Zugriff hinzufügen " die Option "Berechtigungen hinzufügen" aus.

  10. Wählen Sie auf dem Blatt "Verwalten"Zertifikate und geheime Schlüssel aus , und wählen Sie "Neuer geheimer Clientschlüssel" aus, geben Sie eine Beschreibung für Ihren geheimen Schlüssel ein, wählen Sie einen Ablaufzeitraum aus, und wählen Sie dann " Speichern" aus.

  11. Ihr neuer geheimer Schlüssel wird angezeigt. Kopieren Sie den geheimen Wert, da Sie ihn später benötigen, und kann nicht mehr abgerufen werden, sobald Sie diese Seite verlassen.

    Screenshot des Formulars zum Erstellen geheimer Clientschlüssel.

Sie müssen noch einen weiteren Schritt im Azure-Portal abschließen, aber zuerst erstellen Sie einen benutzerdefinierten Konnektor.

Einen benutzerdefinierten Connector erstellen

Nun, da die Microsoft Entra ID-Anwendung konfiguriert ist, erstellen Sie den benutzerdefinierten Konnektor.

  1. Wählen Sie in der Power Automate-Web-AppEinstellungen (das Zahnradsymbol) in der oberen rechten Ecke der Seite aus, und wählen Sie dann Benutzerdefinierte Connectors aus.

  2. Wählen Sie Benutzerdefinierten Connector erstellen>OpenAPI-Datei importieren aus.

  3. Geben Sie einen Namen für den Connector ein, navigieren Sie zu Ihrer OpenAPI-Beispieldatei und wählen Sie dann Fortfahren aus.

    Screenshot der Felder

  4. Die Seite Allgemein wird geöffnet. Belassen Sie die Standardwerte so, wie sie angezeigt werden, und wählen Sie dann die Sicherheit-Seite aus.

  5. Geben Sie auf der Seite Sicherheit die Microsoft Entra ID-Informationen für die Anwendung an:

    • Geben Sie unter Client-ID den Wert der Microsoft Entra ID-Anwendungs-ID ein, den Sie zuvor kopiert haben.

    • Für Geheimer Clientschlüssel verwenden Sie den Wert, den Sie zuvor kopiert haben.

    • Für Ressourcen-URL geben Sie https://management.core.windows.net/ ein. Achten Sie darauf, dass die Ressourcen-URL genau so angegeben wird, wie sie geschrieben wurde, einschließlich des abschließenden Schrägstrichs.

    Screenshot der OAuth-Einstellungskonfiguration.

    Nachdem Sie Sicherheitsinformationen eingegeben haben, wählen Sie das Häkchen () neben dem Flussnamen oben auf der Seite, um den benutzerdefinierten Konnektor zu erstellen.

  6. Auf der Seite Sicherheit ist das Feld Redirect-URL jetzt ausgefüllt. Kopieren Sie diese URL, weil Sie sie im nächsten Abschnitt dieses Tutorials verwenden können.

  7. Ihr benutzerdefinierter Connector wird nun unter Benutzerdefinierte Connectors angezeigt.

    Screenshot der verfügbaren APIs.

  8. Nun, da der benutzerdefinierte Konnektor registriert ist, erstellen Sie eine Verbindung zum benutzerdefinierten Konnektor, damit er in Ihren Anwendungen und Flows verwendet werden kann. Wählen Sie das Pluszeichen (+) rechts neben dem Namen Ihres benutzerdefinierten Connectors aus, und füllen Sie dann den Anmeldebildschirm aus.

Anmerkung

Die OpenAPI-Beispieldatei legt nicht alle Ressourcen-Manager-Vorgänge fest. Sie enthält derzeit nur den Vorgang zum Auflisten aller Abonnements. Sie können diese OpenAPI-Datei bearbeiten oder eine andere OpenAPI-Datei erstellen, indem Sie den OpenAPI-Online-Editor verwenden.

Antwort-URL in Azure festlegen

Wählen Sie Ihre Azure Active Directory (Microsoft Entra ID) aus und wählen Sie dann Ihre App. Wählen Sie im linken Menü Authentifizierung und dann URI hinzufügen aus. Fügen Sie den Wert hinzu, den Sie aus dem Feld Umleitungs-URI im Kundenkonnektor kopiert haben, z. B. https://global.consent.azure-apim.net/redirect/samplecustomconnector123-5f98284236d845b802-5f21c6202f06d65e16 und wählen Sie dann Speichern aus.

Screenshot des Hinzufügens eines Umleitungs-URI-Werts zum benutzerdefinierten Connector.

Verwaltete Identitätsauthentifizierung (Vorschau)

Benutzerdefinierte Connectors unterstützen jetzt die Verwendung einer verwalteten Identität anstelle des Client-Geheimnisses für die delegierte Entra-Authentifizierung. Auf diese Weise müssen Sie sich keine Gedanken darüber machen, die Client-Geheimnisse zu rotieren, sobald sie sich ihrem Ablauf nähern. Beachten Sie, dass dies ein Vorschaufeature ist und noch bereitgestellt wird. Daher wird diese Option möglicherweise nicht in der benutzerdefinierten Verbinder-UX angezeigt. Es ist auch wichtig zu beachten, dass dieses Feature die Clientanwendung als einzelne Mandantenanwendung benötigt.

  1. Wählen Sie auf der Registerkarte "Sicherheit" des benutzerdefinierten Connectors den Authentifizierungstyp OAuth 2.0 und den Identitätsanbieter Azure Active Directory aus, und klicken Sie auf das Optionsfeld für verwaltete Identität. Beachten Sie, dass die Mandanten-ID in diesem Fall eine echte Mandanten-ID-GUID sein muss. Die allgemeine Verwendung funktioniert nicht.

    Screenshot der Option

  2. Nachdem Sie den Connector gespeichert haben, können die Zeichenfolgen für verwaltete Identitäten von der unteren Seite der Sicherheitsseite oder der Connectordetailseite kopiert werden.

    Screenshot der Detailseite.

  3. Sie müssen diese verwaltete Identität hinzufügen, die für den benutzerdefinierten Connector erstellt wurde, zu Ihrer Client-Entra-App. Wählen Sie im Abschnitt "Zertifikate und geheime Schlüssel" die Registerkarte " Verbundanmeldeinformationen " aus.

    Screenshot der Anmeldeinformationsliste.

  4. Fügen Sie neue Anmeldeinformationen hinzu.

    Screenshot, das zeigt, wie man Anmeldeinformationen hinzufügt

    Kopieren Sie die Zeichenfolgen des Ausstellers und des Betreffidentifikators aus dem Feld "Verwaltete Identität" entweder auf der Detailseite des benutzerdefinierten Connectors oder auf der Registerkarte "Sicherheit" der Bearbeitungsseite.

    Screenshot der Zeichenfolgen für Betreff- und Ausstellerkennungen.

  5. Nachdem Sie der App diese verwaltete Identität hinzugefügt haben, können Sie erfolgreich Verbindungen für Ihren Connector erstellen. Dies ist auch ein einmaliges Setup, und wie die Umleitungs-URL ändern sich die Details der verwalteten Identität nicht, wenn Sie den Connector aktualisieren. Wenn Sie den Connector auch in eine andere Umgebung exportieren und importieren, wird für diesen Connector eine neue verwaltete Identität generiert, die der jeweiligen Entra-App hinzugefügt werden muss.

Benutzerdefinierte Connectors in Power Automate verwenden.

Für Fragen und Kommentare steht unsere Community zur Verfügung: Melden Sie sich gleich hier an.

Feedback senden

Wir freuen uns sehr über Feedback zu Problemen mit unserer Connector-Plattform oder neuen Feature-Ideen. Wenn Sie Feedback geben möchten, gehen Sie zu Probleme melden oder Hilfe zu Connectors und wählen Sie einen Feedbacktyp aus.

  • Last updated on