Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".
В этой статье показано, как зарегистрировать ресурсы веб-API в клиенте Azure Active Directory B2C (Azure AD B2C), чтобы они могли принимать и отвечать на запросы клиентских приложений, которые представляют маркер доступа.
Чтобы зарегистрировать приложение в клиенте Azure AD B2C, выполните следующие действия.
- Войдите на портал Azure.
- Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
- В меню слева выберите Azure AD B2C. Или выберите все службы и найдите и выберите Azure AD B2C.
- Выберите регистрации приложений и нажмите кнопку "Создать регистрацию".
- Введите имя приложения. Например, webapi1.
- В разделе URI перенаправления выберите веб-сайт и введите конечную точку, в которой Azure AD B2C должна возвращать все маркеры, запрашиваемые приложением. В производственном приложении можно задать URI перенаправления как конечную точку
https://localhost:5000. Во время разработки или тестирования вы можете установить значениеhttps://jwt.ms, используя веб-приложение, принадлежащее Майкрософт, которое отображает декодированное содержимое токена (содержимое токена никогда не покидает ваш браузер). URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время. - Выберите Зарегистрировать.
- Запишите идентификатор приложения (клиента) для использования в коде веб-API.
Настройка областей
Области предоставляют способ управления доступом к защищенным ресурсам. Области используются веб-API для реализации управления доступом на основе областей. Например, у пользователей веб-API может быть доступ на чтение и запись, или у пользователей веб-API может быть только доступ на чтение. В этом руководстве вы используете области для определения разрешений на чтение и запись для веб-API.
- Щелкните Регистрация приложений.
- Выберите приложение webapi1 , чтобы открыть страницу обзора .
- В разделе "Управление" выберите "Предоставить API".
- Рядом с URI идентификатора приложения выберите ссылку "Добавить ".
- Замените значение по умолчанию (GUID)
apiна , а затем нажмите кнопку "Сохранить". Отображается полный универсальный код ресурса (URI) и должен быть в форматеhttps://your-tenant-name.onmicrosoft.com/api. Когда веб-приложение запрашивает маркер доступа для API, он должен добавить этот URI в качестве префикса для каждой области, определяемой для API. - В разделе "Области", определенные этим API, выберите "Добавить область".
- Введите следующие значения, чтобы создать область, которая определяет доступ для чтения к API, а затем нажмите кнопку "Добавить область".
-
Имя области:
demo.read -
Отображаемое имя согласия администратора:
Read access to demo API -
Описание согласия администратора:
Allows read access to the demo API
-
Имя области:
- Выберите "Добавить область", введите следующие значения, чтобы добавить область, которая определяет доступ на запись к API, а затем нажмите кнопку "Добавить область".
-
Имя области:
demo.write -
Отображаемое имя согласия администратора:
Write access to demo API -
Описание согласия администратора:
Allows write access to the demo API
-
Имя области:
Предоставление разрешений
Чтобы вызвать защищенный веб-API из приложения, необходимо предоставить приложению разрешения для API. Например, в руководстве. Регистрация приложения в Azure Active Directory B2C, веб-приложение с именем webapp1 зарегистрировано в Azure AD B2C. Это приложение можно использовать для вызова веб-API.
- Выберите регистрации приложений и выберите веб-приложение, которое должно иметь доступ к API. Например, webapp1.
- В разделе Управление выберите Разрешения API.
- В разделе Настроенные разрешения выберите Добавить разрешение.
- Выберите вкладку Мои API.
- Выберите API, к которому веб-приложению должен быть предоставлен доступ. Например, webapi1.
- В разделе "Разрешение" разверните демонстрацию и выберите области, определенные ранее. Например, demo.read и demo.write.
- Выберите Добавить разрешения.
- Выберите Предоставить согласие администратора для (имя арендатора).
- Если вам будет предложено выбрать учетную запись, выберите учетную запись администратора, вошедшего в систему, или войдите с учетной записью в клиенте Azure AD B2C, которому назначена по крайней мере роль администратора облачных приложений .
- Выберите Да.
- Выберите "Обновить", а затем убедитесь, что "Предоставлено для ..." отображается в разделе "Состояние " для обеих областей.
Приложение зарегистрировано для вызова защищенного веб-API. Пользователь проходит проверку подлинности с помощью Azure AD B2C для использования приложения. Приложение получает разрешение на авторизацию из Azure AD B2C для доступа к защищенному веб-API.