Configurer le gestionnaire d’informations d’identification - API Microsoft Graph

S’APPLIQUE À : tous les niveaux de Gestion des API

Cet article vous guide tout au long des étapes requises pour créer une connexion managée à l’API Microsoft Graph dans Gestion des API Azure. Utilisez le fournisseur d’identité Microsoft Entra pour appeler l’API Microsoft Graph. Cet exemple utilise le type d’octroi de code d’autorisation.

Vous apprenez à :

Créer un proxy d’application Microsoft Entra
Créer et configurer un fournisseur d’informations d’identification dans Gestion des API
Configurer une connexion
Créer une API Microsoft Graph dans Gestion des API et configurer une stratégie
Tester votre API Microsoft Graph dans Gestion des API

Prerequisites

Accès à un tenant Microsoft Entra dans lequel vous disposez des autorisations nécessaires pour créer un enregistrement d'application et accorder le consentement administrateur pour les autorisations de l'application. Pour plus d’informations, consultez Restreindre les utilisateurs pouvant créer des applications.

Si vous souhaitez créer votre propre locataire de développeur, vous pouvez vous inscrire au Programme de développement Microsoft 365.
Instance gestion des API en cours d’exécution. Si vous n’en avez pas, consultez Créer une nouvelle instance gestion des API Azure.
Activez une identité managée affectée par le système dans l’instance Gestion des API.

Étape 1 : Créer une application Microsoft Entra

Créez une application Microsoft Entra pour l’API et accordez-lui les autorisations appropriées pour les demandes que vous souhaitez appeler.

Connectez-vous au portail Azure avec un compte disposant d’autorisations suffisantes dans le locataire.
Recherchez et sélectionnez Microsoft Entra ID.
Sous Gérer dans le menu de la barre latérale, sélectionnez Inscriptions d’applications, puis sélectionnez + Nouvelle inscription.
Lors de l’inscription d’une application, entrez les paramètres d’inscription de votre application :
1. Dans Nom, entrez un nom explicite pour l’application, par exemple MicrosoftGraphAuth.
2. Dans les types de comptes pris en charge, sélectionnez une option qui convient à votre scénario, par exemple, Comptes dans cet annuaire organisationnel uniquement (locataire unique).
3. Définissez l’URI de redirection sur Web, puis saisissez https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME> en remplaçant par le nom du service de gestion des API où vous allez configurer le fournisseur d'informations d’identification.
4. Sélectionnez Inscrire.
Dans le menu de la barre latérale, sélectionnez Gérer les>autorisations d’API. Vérifiez que l’autorisation User.Read avec le type Délégué est déjà ajouté.
Sélectionnez + Ajouter une autorisation.
1. Sélectionnez Microsoft Graph, puis sélectionnez Autorisations déléguées.
2. Tapez Team, développez les options Team , puis sélectionnez Team.ReadBasic.All. Sélectionnez Ajouter des autorisations.
3. Ensuite, sélectionnez Accorder le consentement de l’administrateur pour l’annuaire par défaut. L’état des autorisations devient Accordé pour le répertoire par défaut.
Dans le menu de la barre latérale, sélectionnez Vue d’ensemble. Dans Vue d’ensemble, recherchez la valeur de l’ID d’application (client) et enregistrez-la à utiliser à l’étape 2.
Dans le menu de la barre latérale, sélectionnez Gérer les>certificats et les secrets, puis sélectionnez + Nouveau secret client.
1. Entrez une description.
2. Sélectionnez une option pour Expires.
3. Sélectionnez Ajouter.
4. Copiez la valeur du secret client avant de quitter la page. Vous en avez besoin à l’étape 2.

Étape 2 : Configurer un fournisseur d’informations d’identification dans Gestion des API

Accédez à votre instance Gestion des API.
Sous API dans le menu de la barre latérale, sélectionnez Gestionnaire d’informations d’identification, puis sélectionnez + Créer.

Dans Créer un fournisseur d’informations d’identification, entrez les paramètres suivants, puis sélectionnez Créer :

Paramètres	Valeur
Nom du fournisseur d’informations d’identification	Nom de votre choix, tel que MicrosoftEntraID-01
Fournisseur d’identité	Sélectionner Azure Active Directory v1
Type d’octroi	Sélectionner le code d’autorisation
URL d’autorisation	Facultatif pour le fournisseur d’identité Microsoft Entra. La valeur par défaut est `https://login.microsoftonline.com`.
ID du client	Collez la valeur que vous avez copiée précédemment à partir de l'enregistrement de l’application
Clé secrète client	Collez la valeur que vous avez copiée précédemment à partir de l'enregistrement de l’application
URL de ressource	`https://graph.microsoft.com`
ID de locataire	Facultatif pour le fournisseur d’identité Microsoft Entra. La valeur par défaut est Commune.
Étendues	Facultatif pour le fournisseur d’identité Microsoft Entra. Configuré automatiquement à partir des autorisations d’API de l’application Microsoft Entra.

Cliquez sur Créer.
Lorsque vous y êtes invité, passez en revue l’URL de redirection OAuth affichée, puis sélectionnez Oui pour confirmer qu’elle correspond à l’URL que vous avez entrée dans l’inscription de l’application.

Étape 3 : Configurer une connexion

Sous l’onglet Connexion , effectuez les étapes de votre connexion au fournisseur.

Note

Lorsque vous configurez une connexion, gestion des API par défaut configure une stratégie d’accès qui permet l’accès par l’identité managée affectée par les systèmes de l’instance. Cet accès est suffisant pour cet exemple. Vous pouvez ajouter d’autres stratégies d’accès en fonction des besoins.

Entrez un nom de connexion, puis sélectionnez Enregistrer.
Sous l’étape 2 : Connectez-vous à votre connexion (pour le type d’octroi de code d’autorisation), sélectionnez le bouton Connexion . Effectuez les étapes avec votre fournisseur d’identité pour autoriser l’accès et revenir à Gestion des API.
À l’étape 3 : Déterminez qui aura accès à cette connexion (stratégie d’accès), le membre d’identité managée est répertorié. L’ajout d’autres membres est facultatif, selon votre scénario.
Sélectionnez Terminer.

La nouvelle connexion apparaît dans la liste des connexions et affiche l’état Connecté. Si vous souhaitez créer une autre connexion pour le fournisseur d’informations d’identification, effectuez les étapes précédentes.

Conseil / Astuce

Utilisez le portail pour ajouter, mettre à jour ou supprimer des connexions à un fournisseur d’informations d’identification à tout moment. Pour plus d’informations, consultez Configurer plusieurs connexions.

Note

Si vous mettez à jour vos autorisations Microsoft Graph après cette étape, vous devez répéter les étapes 2 et 3.

Étape 4 : Créer une API Microsoft Graph dans Gestion des API et configurer une stratégie

Sous API dans le menu de la barre latérale, sélectionnez API.

Sélectionnez HTTP et entrez les paramètres suivants. Sélectionnez ensuite Créer.

Réglage	Valeur
Nom d'affichage	msgraph
Web service URL	`https://graph.microsoft.com/v1.0`
Suffixe d’URL de l’API	msgraph

Accédez à l’API nouvellement créée et sélectionnez + Opération Ajouter. Entrez les paramètres suivants, puis sélectionnez Enregistrer.

Réglage Valeur

Nom d'affichage getprofile

URL pour le GET /me
Suivez les étapes précédentes pour ajouter une autre opération avec les paramètres suivants.

Réglage Valeur

Nom d'affichage getJoinedTeams

URL pour le GET /me/joinedTeams
Sélectionnez Toutes les opérations. Dans la section Traitement entrant , sélectionnez l’icône </> (éditeur de code).

Réglage	Valeur
Nom d'affichage	getprofile
URL pour le GET	/me

Réglage	Valeur
Nom d'affichage	getJoinedTeams
URL pour le GET	/me/joinedTeams

Copiez et collez l’extrait de code suivant. Mettez à jour la get-authorization-context stratégie avec les noms du fournisseur d’informations d’identification et de la connexion que vous avez configurés dans les étapes précédentes, puis sélectionnez Enregistrer.

Remplacez le nom de votre fournisseur d’informations d’identification par la valeur de provider-id
Remplacez votre nom de connexion par la valeur de authorization-id

<policies>
    <inbound>
        <base />
        <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
       <set-header name="Authorization" exists-action="override">
           <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
       </set-header>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

La définition de stratégie précédente se compose de deux parties :

La stratégie get-authorization-context récupère un jeton d’autorisation en référençant le fournisseur d’informations d’identification et la connexion que vous avez créés précédemment.
La stratégie set-header crée un en-tête HTTP contenant le jeton d’accès récupéré.

Étape 5 : Tester l’API

Sous l’onglet Test , sélectionnez une opération que vous avez configurée.
Sélectionnez Envoyer.

Une réponse réussie retourne les données utilisateur de Microsoft Graph.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-12-08