Добавление приложения веб-API в клиент Azure Active Directory B2C

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

В этой статье показано, как зарегистрировать ресурсы веб-API в клиенте Azure Active Directory B2C (Azure AD B2C), чтобы они могли принимать и отвечать на запросы клиентских приложений, которые представляют маркер доступа.

Чтобы зарегистрировать приложение в клиенте Azure AD B2C, выполните следующие действия.

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
  3. В меню слева выберите Azure AD B2C. Или выберите все службы и найдите и выберите Azure AD B2C.
  4. Выберите регистрации приложений и нажмите кнопку "Создать регистрацию".
  5. Введите имя приложения. Например, webapi1.
  6. В разделе URI перенаправления выберите веб-сайт и введите конечную точку, в которой Azure AD B2C должна возвращать все маркеры, запрашиваемые приложением. В производственном приложении можно задать URI перенаправления как конечную точку https://localhost:5000. Во время разработки или тестирования вы можете установить значение https://jwt.ms, используя веб-приложение, принадлежащее Майкрософт, которое отображает декодированное содержимое токена (содержимое токена никогда не покидает ваш браузер). URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время.
  7. Выберите Зарегистрировать.
  8. Запишите идентификатор приложения (клиента) для использования в коде веб-API.

Настройка областей

Области предоставляют способ управления доступом к защищенным ресурсам. Области используются веб-API для реализации управления доступом на основе областей. Например, у пользователей веб-API может быть доступ на чтение и запись, или у пользователей веб-API может быть только доступ на чтение. В этом руководстве вы используете области для определения разрешений на чтение и запись для веб-API.

  1. Щелкните Регистрация приложений.
  2. Выберите приложение webapi1 , чтобы открыть страницу обзора .
  3. В разделе "Управление" выберите "Предоставить API".
  4. Рядом с URI идентификатора приложения выберите ссылку "Добавить ".
  5. Замените значение по умолчанию (GUID) apiна , а затем нажмите кнопку "Сохранить". Отображается полный универсальный код ресурса (URI) и должен быть в формате https://your-tenant-name.onmicrosoft.com/api. Когда веб-приложение запрашивает маркер доступа для API, он должен добавить этот URI в качестве префикса для каждой области, определяемой для API.
  6. В разделе "Области", определенные этим API, выберите "Добавить область".
  7. Введите следующие значения, чтобы создать область, которая определяет доступ для чтения к API, а затем нажмите кнопку "Добавить область".
    1. Имя области: demo.read
    2. Отображаемое имя согласия администратора: Read access to demo API
    3. Описание согласия администратора: Allows read access to the demo API
  8. Выберите "Добавить область", введите следующие значения, чтобы добавить область, которая определяет доступ на запись к API, а затем нажмите кнопку "Добавить область".
    1. Имя области: demo.write
    2. Отображаемое имя согласия администратора: Write access to demo API
    3. Описание согласия администратора: Allows write access to the demo API

Предоставление разрешений

Чтобы вызвать защищенный веб-API из приложения, необходимо предоставить приложению разрешения для API. Например, в руководстве. Регистрация приложения в Azure Active Directory B2C, веб-приложение с именем webapp1 зарегистрировано в Azure AD B2C. Это приложение можно использовать для вызова веб-API.

  1. Выберите регистрации приложений и выберите веб-приложение, которое должно иметь доступ к API. Например, webapp1.
  2. В разделе Управление выберите Разрешения API.
  3. В разделе Настроенные разрешения выберите Добавить разрешение.
  4. Выберите вкладку Мои API.
  5. Выберите API, к которому веб-приложению должен быть предоставлен доступ. Например, webapi1.
  6. В разделе "Разрешение" разверните демонстрацию и выберите области, определенные ранее. Например, demo.read и demo.write.
  7. Выберите Добавить разрешения.
  8. Выберите Предоставить согласие администратора для (имя арендатора).
  9. Если вам будет предложено выбрать учетную запись, выберите учетную запись администратора, вошедшего в систему, или войдите с учетной записью в клиенте Azure AD B2C, которому назначена по крайней мере роль администратора облачных приложений .
  10. Выберите Да.
  11. Выберите "Обновить", а затем убедитесь, что "Предоставлено для ..." отображается в разделе "Состояние " для обеих областей.

Приложение зарегистрировано для вызова защищенного веб-API. Пользователь проходит проверку подлинности с помощью Azure AD B2C для использования приложения. Приложение получает разрешение на авторизацию из Azure AD B2C для доступа к защищенному веб-API.