Konfigurowanie menedżera poświadczeń — interfejs API programu Microsoft Graph

DOTYCZY: Wszystkich poziomów zarządzania API

Ten artykuł przeprowadzi Cię przez kroki wymagane do utworzenia zarządzanego połączenia z interfejsem API programu Microsoft Graph w usłudze Azure API Management. Użyj dostawcy tożsamości Microsoft Entra, aby wywołać Microsoft Graph API. W tym przykładzie użyto typu udzielania kodu autoryzacji.

Uczysz się, jak:

Wymagania wstępne

• Dostęp do dzierżawy Microsoft Entra, w której masz uprawnienia do tworzenia rejestracji aplikacji i udzielania zgody administracyjnej na uprawnienia aplikacji. Aby dowiedzieć się więcej, zobacz Ograniczanie, kto może tworzyć aplikacje.

  Jeśli chcesz utworzyć własne konto dewelopera, możesz zarejestrować się w Programie Deweloperskim Microsoft 365.

• Uruchomione wystąpienie usługi API Management. Jeśli go nie masz, utwórz nowe wystąpienie usługi Azure API Management, zobacz Utworzenie nowego wystąpienia usługi Azure API Management.

• Włącz tożsamość zarządzaną przypisaną przez system w wystąpieniu usługi API Management.

Krok 1. Tworzenie aplikacji Firmy Microsoft Entra

Utwórz aplikację Microsoft Entra dla interfejsu API i nadaj jej odpowiednie uprawnienia dla żądań, które chcesz wywołać.

1. Zaloguj się do portalu Azure za pomocą konta mającego wystarczające uprawnienia w dzierżawie.

2. Wyszukaj i wybierz Microsoft Entra ID.

3. W obszarze Zarządzaj w menu paska bocznego wybierz pozycję Rejestracje aplikacji, a następnie wybierz pozycję + Nowa rejestracja.

4. W obszarze Rejestrowanie aplikacji wprowadź ustawienia rejestracji aplikacji:

   1. W polu Nazwa wprowadź zrozumiałą nazwę aplikacji, taką jak MicrosoftGraphAuth.

   2. W Obsługiwane typy kont wybierz opcję, która odpowiada Twojej sytuacji, na przykład Konta w tym katalogu organizacyjnym (tylko jeden dzierżawca).

   3. Ustaw identyfikator URI przekierowania na Sieć Web, a następnie wprowadź ciąg https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>, zastępując nazwę usługi API Management, w której skonfigurujesz dostawcę poświadczeń.

   4. Wybierz pozycję Zarejestruj.

      

5. W menu paska bocznego wybierz pozycję Zarządzaj uprawnieniami>interfejsu API. Upewnij się, że uprawnienie User.Read z typem Delegowane zostało już dodane.

6. Wybierz + Dodaj uprawnienie.

   1. Wybierz pozycję Microsoft Graph, a następnie wybierz pozycję Delegowane uprawnienia.
   2. Wpisz Team, rozwiń opcje Zespół , a następnie wybierz pozycję Team.ReadBasic.All. Wybierz Dodaj uprawnienia.
   3. Następnie wybierz pozycję Udziel zgody administratora dla katalogu domyślnego. Stan uprawnień zmienia się na Udzielono dla katalogu domyślnego.

7. W menu paska bocznego wybierz pozycję Przegląd. Na stronie Przegląd znajdź wartość Identyfikator aplikacji (klienta) i zapisz ją do użycia w kroku 2.

8. W menu paska bocznego wybierz pozycję Zarządzaj>certyfikatami i wpisami tajnymi, a następnie wybierz pozycję + Nowy klucz tajny klienta.

   1. Wprowadź opis.
   2. Wybierz opcję Wygasa.
   3. Wybierz Dodaj.
   4. Skopiuj wartość tajnego klucza klienta przed opuszczeniem strony. Potrzebujesz go w kroku 2.

Krok 2. Konfigurowanie dostawcy poświadczeń w usłudze API Management

1. Przejdź do wystąpienia usługi API Management.

2. W obszarze Interfejsy API w menu paska bocznego wybierz pozycję Menedżer poświadczeń, a następnie wybierz pozycję + Utwórz.

3. W obszarze Tworzenie dostawcy poświadczeń wprowadź następujące ustawienia, a następnie wybierz pozycję Utwórz:

   Ustawienia	Wartość
   Nazwa dostawcy poświadczeń	Wybrana nazwa, na przykład MicrosoftEntraID-01
   Dostawca tożsamości	Wybieranie usługi Azure Active Directory w wersji 1
   Typ udzielenia	Wybieranie kodu autoryzacji
   Adres URL autoryzacji	Opcjonalne dla dostawcy tożsamości Microsoft Entra. Wartość domyślna to https://login.microsoftonline.com.
   identyfikator klienta	Wklej skopiowaną wcześniej wartość z rejestracji aplikacji
   Klucz tajny klienta	Wklej skopiowaną wcześniej wartość z rejestracji aplikacji
   Adres URL zasobu	https://graph.microsoft.com
   Identyfikator najemcy	Opcjonalne dla dostawcy tożsamości Microsoft Entra. Wartość domyślna to Typowe.
   Zakresy	Opcjonalne dla dostawcy tożsamości Microsoft Entra. Automatycznie skonfigurowane na podstawie uprawnień API aplikacji Microsoft Entra.

4. Wybierz Utwórz.

5. Po wyświetleniu monitu przejrzyj wyświetlany adres URL przekierowania OAuth i wybierz pozycję Tak , aby potwierdzić, że jest on zgodny z adresem URL wprowadzonym w rejestracji aplikacji.

Krok 3. Konfigurowanie połączenia

Na karcie Połączenie wykonaj kroki połączenia z dostawcą.

1. Wprowadź nazwę połączenia, a następnie wybierz pozycję Zapisz.
2. W obszarze Krok 2. Zaloguj się do połączenia (w celu udzielenia kodu autoryzacji) wybierz przycisk Zaloguj. Wykonaj kroki u dostawcy tożsamości, aby autoryzować dostęp i wrócić do usługi API Management.
3. W sekcji Krok 3: Określ, kto będzie miał dostęp do tego połączenia (polityka dostępu), wyświetlony jest członek tożsamości zarządzanej. Dodawanie innych członków jest opcjonalne w zależności od scenariusza.
4. Wybierz pozycję Zakończ.

Nowe połączenie zostanie wyświetlone na liście połączeń i zostanie wyświetlony stan Połączono. Jeśli chcesz utworzyć inne połączenie dla dostawcy poświadczeń, wykonaj powyższe kroki.

Krok 4. Tworzenie interfejsu API programu Microsoft Graph w usłudze API Management i konfigurowanie zasad

1. W obszarze Interfejsy API w menu paska bocznego wybierz pozycję Interfejsy API.

2. Wybierz HTTP i wprowadź następujące ustawienia. Następnie wybierz Utwórz.

   Setting	Wartość
   Nazwa wyświetlana	msgraph
   Adres URL usługi sieci Web	https://graph.microsoft.com/v1.0
   Sufiks adresu URL API	msgraph

3. Przejdź do nowo utworzonego interfejsu API i wybierz pozycję + Dodaj operację. Wprowadź następujące ustawienia i wybierz pozycję Zapisz.

   Setting	Wartość
   Nazwa wyświetlana	getprofile
   Adres URL dla GET	/me

4. Wykonaj powyższe kroki, aby dodać kolejną operację z następującymi ustawieniami.

   Setting	Wartość
   Nazwa wyświetlana	getJoinedTeams
   Adres URL dla GET	/me/joinedTeams

5. Wybierz pozycję Wszystkie operacje. W sekcji Przetwarzanie przychodzące wybierz ikonę </> (edytor kodu).

6. Skopiuj i wklej poniższy fragment kodu. get-authorization-context Zaktualizuj zasady przy użyciu nazw dostawcy poświadczeń i połączenia skonfigurowanego w poprzednich krokach, a następnie wybierz pozycję Zapisz.

   • Zastąp nazwę dostawcy poświadczeń wartością provider-id
   • Zastąp nazwę połączenia wartością authorization-id

   <policies>
       <inbound>
           <base />
           <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
          <set-header name="Authorization" exists-action="override">
              <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
          </set-header>
       </inbound>
       <backend>
           <base />
       </backend>
       <outbound>
           <base />
       </outbound>
       <on-error>
           <base />
       </on-error>
   </policies>
   

Poprzednia definicja zasad składa się z dwóch części:

• Polityka get-authorization-context pobiera token autoryzacji, odwołując się do dostawcy poświadczeń oraz do utworzonego wcześniej połączenia.
• Zasady set-header tworzą nagłówek HTTP z pobranym tokenem dostępu.

Krok 5. Testowanie interfejsu API

1. Na karcie Test wybierz jedną skonfigurowaną operację.

2. Wybierz Wyślij.

   

   Pomyślna odpowiedź zwraca dane użytkownika z programu Microsoft Graph.

Treści powiązane

• Uwierzytelnianie i autoryzacja w usłudze Azure API Management
• Zakresy i uprawnienia na platformie tożsamości firmy Microsoft