Configurar o gerenciador de credenciais – API do Microsoft Graph

APLICA-SE A: todas as camadas do Gerenciamento de API

Este artigo orienta você pelas etapas necessárias para criar uma conexão gerenciada com a API do Microsoft Graph no Gerenciamento de API do Azure. Use o provedor de identidade do Microsoft Entra para chamar a API do Microsoft Graph. Este exemplo usa o tipo de concessão de código de autorização.

Você aprenderá como:

Pré-requisitos

• Acesso a um locatário do Microsoft Entra em que você tem permissões para criar um registro de aplicativo e conceder consentimento do administrador para as permissões do aplicativo. Para saber mais, confira Restringir quem pode criar aplicativos.

  Se você quiser criar seu próprio locatário de desenvolvedor, inscreva-se no Programa de Desenvolvedores do Microsoft 365.

• Uma instância de Gerenciamento de API em execução. Se você não tiver uma, consulte Criar uma nova instância de Gerenciamento de API do Azure.

• Habilite uma identidade gerenciada atribuída pelo sistema na instância de Gerenciamento de API.

Etapa 1: Criar um aplicativo do Microsoft Entra

Crie um aplicativo do Microsoft Entra para a API e forneça as permissões apropriadas para as solicitações que você deseja chamar.

1. Entre no portal do Azure com uma conta com permissões suficientes no locatário.

2. Pesquise e selecione Microsoft Entra ID.

3. Em Gerenciar no menu da barra lateral, selecione Registros de aplicativo e, em seguida, selecione + Novo registro.

4. Ao registrar um aplicativo, insira as configurações de registro do aplicativo:

   1. Em Nome, insira um nome significativo para o aplicativo, como MicrosoftGraphAuth.

   2. Em tipos de conta com suporte, selecione uma opção que se adapte ao seu cenário, por exemplo, Contas somente neste diretório organizacional (locatário único).

   3. Defina o URI de Redirecionamento para a Web e insira https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>, substituindo o nome do serviço de Gerenciamento de API em que você configurará o provedor de credenciais.

   4. Selecione Registrar.

      

5. No menu da barra lateral, selecione Gerenciar>permissões de API. Verifique se a permissão User.Read com o tipo Delegado já está adicionada.

6. Selecione + Adicionar uma permissão.

   1. Selecione o Microsoft Graph e, em seguida, selecione Permissões delegadas.
   2. Digite Equipe, expanda as opções de Equipe e selecione Team.ReadBasic.All. Selecione Adicionar permissões.
   3. Em seguida, selecione Conceder consentimento do administrador para o Diretório Padrão. O status das permissões muda para Concedido para o Diretório Padrão.

7. No menu da barra lateral, selecione Visão geral. Em Visão geral, localize o valor da ID do aplicativo (cliente) e registre-o para uso na Etapa 2.

8. No menu da barra lateral, selecione Gerenciar>Certificados &segredos e, em seguida, selecione + Novo segredo do cliente.

   1. Insira uma Descrição.
   2. Selecione uma opção para Expira em.
   3. Selecione Adicionar.
   4. Copie o Valor da chave secreta do cliente antes de sair da página. Você precisa dela na Etapa 2.

Etapa 2: Configurar um provedor de credenciais no Gerenciamento de API

1. Vá para sua instância de Gerenciamento de API.

2. Em APIs no menu da barra lateral, selecione Gerenciador de Credenciais e, em seguida, selecione + Criar.

3. Em Criar provedor de credenciais, insira as seguintes configurações e selecione Criar:

   Configurações	Value
   Nome do provedor de credenciais	Um nome de sua escolha, como MicrosoftEntraID-01
   Provedor de identidade	Selecione Azure Active Directory v1
   Tipo de concessão	Selecionar código de autorização
   URL de autorização	Opcional para o provedor de identidade do Microsoft Entra. O padrão é https://login.microsoftonline.com.
   ID do cliente	Cole o valor copiado anteriormente do registro do aplicativo
   Segredo do cliente	Cole o valor copiado anteriormente do registro do aplicativo
   URL do recurso	https://graph.microsoft.com
   ID do locatário	Opcional para o provedor de identidade do Microsoft Entra. O padrão é Comum.
   Escopos	Opcional para o provedor de identidade do Microsoft Entra. Configurado automaticamente a partir das permissões de API do aplicativo Microsoft Entra.

4. Selecione Criar.

5. Quando solicitado, examine a URL de redirecionamento OAuth exibida e selecione Sim para confirmar se ela corresponde à URL inserida no registro do aplicativo.

Etapa 3: Configurar uma conexão

Na guia Conexão , conclua as etapas para sua conexão com o provedor.

1. Insira um nome de conexão e, em seguida, selecione Salvar.
2. Na Etapa 2: Faça logon em sua conexão (para o tipo de concessão de código de autorização), selecione o botão Logon . Conclua as etapas com seu provedor de identidade para autorizar o acesso e retorne ao Gerenciamento de API.
3. Na Etapa 3: Determinar quem terá acesso a essa conexão (política de acesso), o membro de identidade gerenciada está listado. Adicionar outros membros é opcional, dependendo do seu cenário.
4. Selecione Concluir.

A nova conexão aparece na lista de conexões e mostra um status de Conectado. Se você quiser criar outra conexão para o provedor de credenciais, conclua as etapas anteriores.

Etapa 4: Criar uma API do Microsoft Graph no Gerenciamento de API e configurar uma política

1. Em APIs no menu da barra lateral, selecione APIs.

2. Selecione HTTP e insira as seguintes configurações. Em seguida, selecione Criar.

   Configurações	Value
   Nome de exibição	msgraph
   URL do serviço Web	https://graph.microsoft.com/v1.0
   Sufixo de URL da API	msgraph

3. Navegue até a API recém-criada e selecione + Adicionar operação. Insira as configurações a seguir e selecione Salvar.

   Configurações	Value
   Nome de exibição	getprofile
   URL para GET	/me

4. Siga as etapas anteriores para adicionar outra operação com as seguintes configurações.

   Configurações	Value
   Nome de exibição	getJoinedTeams
   URL para GET	/me/joinedTeams

5. Selecione Todas as operações. Na seção Processamento de Entrada , selecione o <ícone /> (editor de código).

6. Copie e cole o snippet a seguir. Atualize a get-authorization-context política com os nomes do provedor de credenciais e da conexão que você configurou nas etapas anteriores e selecione Salvar.

   • Substitua o nome do provedor de credenciais como o valor de provider-id
   • Substitua o nome da conexão pelo valor de authorization-id

   <policies>
       <inbound>
           <base />
           <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
          <set-header name="Authorization" exists-action="override">
              <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
          </set-header>
       </inbound>
       <backend>
           <base />
       </backend>
       <outbound>
           <base />
       </outbound>
       <on-error>
           <base />
       </on-error>
   </policies>
   

A definição de política anterior consiste em duas partes:

• A política get-authorization-context busca um token de autorização fazendo referência ao provedor de credenciais e à conexão que você criou anteriormente.
• A política set-header cria um cabeçalho HTTP com o token de acesso buscado.

Etapa 5: Testar a API

1. Na guia Teste , selecione uma operação que você configurou.

2. Selecione Enviar.

   

   Uma resposta bem-sucedida retorna dados do usuário do Microsoft Graph.

Conteúdo relacionado

• Autenticação e autorização no Gerenciamento de API do Azure
• Escopos e permissões na plataforma de identidade da Microsoft