Konfigurera autentiseringshanteraren – Microsoft Graph API

2025-10-10

GÄLLER FÖR: Alla API Management-nivåer

Den här artikeln vägleder dig genom de steg som krävs för att skapa en hanterad anslutning till Microsoft Graph API i Azure API Management. Auktoriseringskodens beviljandetyp används i det här exemplet.

Du lär dig att:

Skapa ett Microsoft Entra program
Skapa och konfigurera en autentiseringsleverantör i API Management
Konfigurera en anslutning
Skapa ett Microsoft Graph API i API Management och konfigurera en princip
Testa ditt Microsoft Graph API i API Management

Förutsättningar

Åtkomst till en Microsoft Entra-klientorganisation där du har behörighet att skapa en appregistrering och bevilja administratörsmedgivande för appens behörigheter. Mer information finns i Begränsa vem som kan skapa program.

Om du vill skapa en egen klientorganisation för utvecklare kan du registrera dig för Microsoft 365 Developer Program.
En API Management-instans som körs. Om du inte har någon läser du Skapa en ny Azure API Management-instans.
Aktivera en systemtilldelad hanterad identitet i API Management-instansen.

Steg 1: Skapa ett Microsoft Entra-program

Skapa ett Microsoft Entra-program för API:et och ge det lämpliga behörigheter för de begäranden som du vill anropa.

Logga in på Azure-portalen med ett konto med tillräcklig behörighet i klientorganisationen.
Sök efter och välj Microsoft Entra-ID.
Under Hantera på sidomenyn väljer du Appregistreringar och sedan + Ny registrering.
På sidan Registrera ett program anger du dina inställningar för programregistrering:
1. I Namn anger du ett beskrivande namn för appen, till exempel MicrosoftGraphAuth.
2. I Kontotyper som stöds väljer du ett alternativ som passar ditt scenario, till exempel Endast konton i den här organisationskatalogen (enskild klientorganisation).
3. Ställ in omdirigerings-URI:n på webben och ange https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>och ersätt namnet på API Management-tjänsten där du konfigurerar providern för autentiseringsuppgifter.
4. Välj Registrera.
På sidomenyn väljer du API-behörigheter och sedan + Lägg till en behörighet.
1. Välj Microsoft Graph och välj sedan Delegerade behörigheter.
  
  Anmärkning
  
  Kontrollera att behörigheten User.Read med typen Delegerad redan har lagts till.
2. Skriv Team, expandera teamalternativen och välj sedan Team.ReadBasic.All. Välj Lägg till behörigheter.
3. Välj sedan Bevilja administratörsmedgivande för Standardkatalog. Statusen för behörigheterna ändras till Beviljad för standardkatalog.
På sidomenyn väljer du Översikt. På sidan Översikt letar du upp värdet program-ID (klient) och registrerar det för användning i steg 2.
På sidomenyn väljer du Certifikat och hemligheter och sedan + Ny klienthemlighet.
1. Ange en beskrivning.
2. Välj ett alternativ för Upphör att gälla.
3. Välj Lägg till.
4. Kopiera klienthemlighetens Värde innan du lämnar sidan. Du behöver det i steg 2.

Steg 2: Konfigurera en provider för autentiseringsuppgifter i API Management

Gå till din API Management-instans.
Under API:er på sidomenyn väljer du Autentiseringshanteraren och sedan + Skapa.

På sidan Skapa provider för autentiseringsuppgifter anger du följande inställningar och väljer Skapa:

Inställningar	Värde
Providernamn för autentiseringsuppgifter	Ett valfritt namn, till exempel MicrosoftEntraID-01
Identitetsprovider	Välj Azure Active Directory v1
Bevilja typ	Välj auktoriseringskod
Auktoriserings-URL	Valfritt för Microsoft Entra-identitetsprovider. Standard är `https://login.microsoftonline.com`.
Kund-ID	Klistra in det värde som du kopierade tidigare från appregistreringen
Klienthemlighet	Klistra in det värde som du kopierade tidigare från appregistreringen
Resurs-URL	`https://graph.microsoft.com`
Hyresgäst-ID	Valfritt för Microsoft Entra-identitetsprovider. Standardvärdet är Vanligt.
Omfattningar	Valfritt för Microsoft Entra-identitetsprovider. Konfigureras automatiskt från Microsoft Entra-appens API-behörigheter.

Välj Skapa.

Steg 3: Konfigurera en anslutning

På fliken Anslutning slutför du stegen för din anslutning till providern.

Anmärkning

När du konfigurerar en anslutning konfigurerar API Management som standard en åtkomstprincip som möjliggör åtkomst av instansens systemtilldelade hanterade identitet. Den här åtkomsten räcker för det här exemplet. Du kan lägga till fler åtkomstprinciper efter behov.

Ange ett anslutningsnamn och välj sedan Spara.
Under Steg 2: Logga in på din anslutning (för beviljandetyp för auktoriseringskod) väljer du knappen Logga in . Slutför stegen där för att auktorisera åtkomst och återgå till API Management.
Under Steg 3: Avgör vem som ska ha åtkomst till den här anslutningen (åtkomstprincip) visas den hanterade identitetsmedlemmen. Det är valfritt att lägga till andra medlemmar, beroende på ditt scenario.
Välj Slutför.

Den nya anslutningen visas i listan över anslutningar och visar statusen Ansluten. Om du vill skapa en annan anslutning för providern för autentiseringsuppgifter slutför du föregående steg.

Tips/Råd

Använd portalen för att lägga till, uppdatera eller ta bort anslutningar till en autentiseringsprovider när som helst. Mer information finns i Konfigurera flera anslutningar.

Anmärkning

Om du uppdaterar dina Microsoft Graph-behörigheter efter det här steget måste du upprepa steg 2 och 3.

Steg 4: Skapa ett Microsoft Graph API i API Management och konfigurera en princip

Under API:er på sidomenyn väljer du API:er.

Välj HTTP och ange följande inställningar. Välj sedan Skapa.

Inställning	Värde
Visningsnamn	msgraph
Url för webbtjänst	`https://graph.microsoft.com/v1.0`
API URL-suffix	msgraph

Navigera till det nyligen skapade API:et och välj + Lägg till åtgärd. Ange följande inställningar och välj Spara.

Inställning Värde

Visningsnamn getprofile

URL för GET /mig
Följ stegen ovan för att lägga till ytterligare en åtgärd med följande inställningar.

Inställning Värde

Visningsnamn getJoinedTeams

URL för GET /me/joinedTeams
Välj Alla åtgärder. I avsnittet Inkommande bearbetning väljer du <ikonen /> (kodredigeraren).

Inställning	Värde
Visningsnamn	getprofile
URL för GET	/mig

Inställning	Värde
Visningsnamn	getJoinedTeams
URL för GET	/me/joinedTeams

Kopiera och klistra in följande kodfragment. get-authorization-context Uppdatera principen med namnen på autentiseringsprovidern och anslutningen som du konfigurerade i föregående steg och välj Spara.

Ersätt namnet på autentiseringsprovidern som värdet för provider-id
Ersätt ditt anslutningsnamn som värdet för authorization-id

<policies>
    <inbound>
        <base />
        <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
       <set-header name="Authorization" exists-action="override">
           <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
       </set-header>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

Den föregående principdefinitionen består av två delar:

Principen get-authorization-context hämtar en auktoriseringstoken genom att referera till providern för autentiseringsuppgifter och anslutningen som skapades tidigare.
Principen set-header skapar ett HTTP-huvud med den hämtade åtkomsttoken.

Steg 5: Testa API:et

På fliken Test väljer du en åtgärd som du har konfigurerat.
Välj Skicka.

Ett lyckat svar returnerar användardata från Microsoft Graph.

Feedback

Var den här sidan till hjälp?