Delen via

Referentiebeheer configureren - Microsoft Graph API

Van toepassing op: Alle API Management-lagen

In dit artikel wordt u begeleid bij de stappen die nodig zijn voor het maken van een beheerde verbinding met de Microsoft Graph API in Azure API Management. Het toekenningstype autorisatiecode wordt in dit voorbeeld gebruikt.

U leert het volgende:

  • Een Microsoft Entra-toepassing maken
  • Een referentieprovider maken en configureren in API Management
  • Een verbinding configureren
  • Een Microsoft Graph API maken in API Management en een beleid configureren
  • Uw Microsoft Graph-API testen binnen API Management

Vereiste voorwaarden

Stap 1: Een Microsoft Entra-toepassing maken

Maak een Microsoft Entra-toepassing voor de API en geef deze de juiste machtigingen voor de aanvragen die u wilt aanroepen.

  1. Meld u aan bij Azure Portal met een account met voldoende machtigingen in de tenant.

  2. Zoek en selecteer Microsoft Entra-id.

  3. Selecteer app-registraties onder Beheren in het zijbalkmenu en selecteer vervolgens + Nieuwe registratie.

  4. Voer op de pagina Een toepassing registreren de registratie-instellingen voor uw toepassing in:

    1. Voer in Naam een beschrijvende naam in voor de app, zoals MicrosoftGraphAuth.

    2. Selecteer in Ondersteunde accounttypen een optie die bij uw scenario past, bijvoorbeeld Alleen accounts in deze organisatiemap (één tenant).

    3. Stel de omleidings-URI in op Web en voer vervolgens de naam van de API Management-service in, waar u de referentieprovider configureert.

    4. Selecteer Registreren.

      Schermopname van het maken van een Microsoft Entra-app-registratie in de portal.

  5. Selecteer API-machtigingen in het zijbalkmenu en selecteer vervolgens + Een machtiging toevoegen. Schermopname van het toevoegen van een API-machtiging in de portal.

    1. Selecteer Microsoft Graph en selecteer vervolgens Gedelegeerde machtigingen.

      Opmerking

      Zorg ervoor dat de machtiging User.Read met het type Delegated al is toegevoegd.

    2. Typ Team, vouw de Team opties uit en selecteer Team.ReadBasic.All. Selecteer Machtigingen toevoegen.
    3. Selecteer vervolgens Geef beheerderstoestemming voor Standaard-directory. De status van de machtigingen wordt gewijzigd in Verleend voor Standaarddirectory.

  6. Selecteer Overzicht in het zijbalkmenu. Zoek op de pagina Overzicht de waarde van de toepassings-id (client) en noteer deze voor gebruik in stap 2.

  7. Selecteer certificaten en geheimen in het zijbalkmenu en selecteer vervolgens + Nieuw clientgeheim. Schermopname van het maken van een app-geheim in de portal.

    1. Voer een beschrijving in.
    2. Selecteer een optie voor Verlopen.
    3. Selecteer Toevoegen.
    4. Kopieer de waarde van het clientgeheim voordat u de pagina verlaat. U hebt deze nodig in stap 2.

Stap 2: een referentieprovider configureren in API Management

  1. Ga naar uw API Management-exemplaar.

  2. Selecteer Referentiebeheerder onder API's in het zijbalkmenu en selecteer vervolgens + Maken. Schermopname van het maken van een API-referentie in de portal.

  3. Voer op de pagina Referentieprovider maken de volgende instellingen in en selecteer Maken:

    Instellingen Waarde
    Naam van referentieprovider Een naam van uw keuze, zoals MicrosoftEntraID-01
    Identiteitsprovider Selecteer Azure Active Directory v1
    Toekenningstype Autorisatiecode selecteren
    Autorisatie-URL Optioneel voor Microsoft Entra-id-provider. De standaardinstelling is https://login.microsoftonline.com.
    Client-ID Plak de waarde die u eerder hebt gekopieerd uit de app-registratie
    Cliëntgeheim Plak de waarde die u eerder hebt gekopieerd uit de app-registratie
    Resource-URL https://graph.microsoft.com
    Tenant-id Optioneel voor Microsoft Entra-id-provider. De standaardwaarde is Common.
    Omvang Optioneel voor Microsoft Entra-id-provider. Automatisch geconfigureerd vanuit de API-machtigingen van de Microsoft Entra-app.

  4. Klik op Creëren.

Stap 3: Een verbinding configureren

Voer op het tabblad Verbinding de stappen voor de verbinding met de provider uit.

Opmerking

Wanneer u een verbinding configureert, stelt API Management standaard een toegangsbeleid in dat toegang mogelijk maakt door de door systemen toegewezen beheerde identiteit van het exemplaar. Deze toegang is voldoende voor dit voorbeeld. U kunt zo nodig meer toegangsbeleidsregels toevoegen.

  1. Voer een verbindingsnaam in en selecteer Opslaan.
  2. Selecteer onder Stap 2: Meld u aan bij uw verbinding (voor het toekenningstype autorisatiecode) de knop Aanmelden . Voer de stappen uit om toegang te autoriseren en terug te keren naar API Management.
  3. Onder stap 3: Bepalen wie toegang heeft tot deze verbinding (toegangsbeleid), wordt het lid van de beheerde identiteit vermeld. Het toevoegen van andere leden is optioneel, afhankelijk van uw scenario.
  4. Selecteer Voltooien.

De nieuwe verbinding wordt weergegeven in de lijst met verbindingen en geeft de status Verbonden weer. Als u een andere verbinding wilt maken voor de referentieprovider, voert u de voorgaande stappen uit.

Aanbeveling

Gebruik de portal om op elk gewenst moment verbindingen met een referentieprovider toe te voegen, bij te werken of te verwijderen. Zie Meerdere verbindingen configureren voor meer informatie.

Opmerking

Als u na deze stap uw Microsoft Graph-machtigingen bijwerkt, moet u stap 2 en 3 herhalen.

Stap 4: Een Microsoft Graph API maken in API Management en een beleid configureren

  1. Selecteer API's onder API's in het zijbalkmenu.

  2. Selecteer HTTP en voer de volgende instellingen in. Klik vervolgens op Maken.

    Configuratie Waarde
    Weergavenaam msgraph
    URL van webservice https://graph.microsoft.com/v1.0
    API-URL-achtervoegsel msgraph

  3. Navigeer naar de zojuist gemaakte API en selecteer + Bewerking toevoegen. Voer de volgende instellingen in en selecteer Opslaan.

    Configuratie Waarde
    Weergavenaam getprofile
    URL voor GET /mij

  4. Volg de voorgaande stappen om een andere bewerking toe te voegen met de volgende instellingen.

    Configuratie Waarde
    Weergavenaam getJoinedTeams
    URL voor GET /me/joinedTeams

  5. Selecteer Alle bewerkingen. Selecteer in de sectie Binnenkomende verwerking het </> -pictogram (code-editor).

  6. Kopieer en plak het volgende fragment. Werk het get-authorization-context beleid bij met de namen van de referentieprovider en de verbinding die u in de voorgaande stappen hebt geconfigureerd en selecteer Opslaan.

    • Vervang de naam van uw authenticatieprovider met de waarde van provider-id
    • Vervang de naam van uw verbinding als de waarde van authorization-id
    <policies>
    <inbound>
        <base />
        <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
       <set-header name="Authorization" exists-action="override">
           <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
       </set-header>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

De voorgaande beleidsdefinitie bestaat uit twee onderdelen:

  • Het get-authorization-context-beleid haalt een autorisatietoken op door te verwijzen naar de referentie-aanbieder en de verbinding die eerder zijn gemaakt.
  • Het set-header-beleid creëert een HTTP-header met het opgehaalde toegangstoken.

Stap 5: de API testen

  1. Selecteer op het tabblad Testen één bewerking die u hebt geconfigureerd.

  2. Klik op Verzenden.

    Schermopname van het testen van de Graph API in de portal.

    Een geslaagd antwoord retourneert gebruikersgegevens van Microsoft Graph.

Verwante inhoud