Snabbstart: Anropa ett webb-API som skyddas av Microsofts identitetsplattform

• Visual Studio 2022. Ladda ned Visual Studio kostnadsfritt.

• Visual Studio Code

1. Under Hanteraväljer du Exponera ett API>Lägg till ett omfång. Godkänn den föreslagna program-ID-URI:n (api://{clientId}) genom att välja Spara och fortsättaoch ange sedan följande information:

   1. Som Omfångsnamn anger du access_as_user.
   2. För Vem kan samtycka kontrollerar du att alternativet Administratörer och användare är valt.
   3. I rutan visningsnamn för administratörsmedgivande anger du Access TodoListService as a user.
   4. I rutan Beskrivning av administratörsmedgivande anger du Accesses the TodoListService web API as a user.
   5. I rutan Visningsnamn för användarmedgivande anger du Access TodoListService as a user.
   6. I rutan Beskrivning av användarmedgivande anger du Accesses the TodoListService web API as a user.
   7. Behåll Aktiveradför Tillstånd.

2. Välj Lägg till definitionsområde.

Lägga till delegerade behörigheter (omfång)

Ett API måste publicera minst ett omfång, även kallat delegerad behörighet, för att klientapparna framgångsrikt ska kunna få en åtkomsttoken för en användare. Följ dessa steg för att publicera omfattningen:

1. På sidan Appregistreringar väljer du det API-program som du skapade (ciam-ToDoList-api) för att öppna sidan Översikt.

2. Under Hantera, välj Exponera ett API.

3. Längst upp på sidan väljer du länken Lägg till bredvid program-ID-URIför att generera en URI som är unik för den här appen.

4. Acceptera den föreslagna program-ID-URI:n, till exempel api://{clientId}, och välj Spara. När ditt webbprogram begär en åtkomsttoken för webb-API:et läggs URI:n till som prefix för varje omfång som du definierar för API:et.

5. Under Omfång som definierats av det här API:etväljer du Lägg till ett omfång.

6. Ange följande värden som definierar läsbehörighet till API:et och välj sedan Lägg till omfång för att spara ändringarna:

   Fastighet	Värde
   Omfångsnamn	ToDoList.Read
   Vem kan ge medgivande	Endast Administratörer
   Administratörsmedgivandets visningsnamn	Läsa användarnas ToDo-lista med hjälp av "TodoListApi"
   Beskrivning av administratörsmedgivande	Tillåt att appen läser användarens ToDo-lista med hjälp av "TodoListApi".
   Stat/län	Aktiverad

7. Välj Lägg till ett omfång igen och ange följande värden som definierar ett läs- och skrivåtkomstomfång till API:et. Välj Lägg till omfång för att spara ändringarna:

   Fastighet	Värde
   Omfångsnamn	ToDoList.ReadWrite
   Vem kan ge medgivande	Endast Administratörer
   Administratörsmedgivandets visningsnamn	Läsa och skriva användares ToDo-lista med hjälp av "ToDoListApi"
   Beskrivning av administratörsmedgivande	Tillåt att appen läser och skriver användarens ToDo-lista med hjälp av "ToDoListApi"
   Stat/län	Aktiverad

Läs mer om principen om lägsta behörighet när du publicerar behörigheter för ett webb-API.

Att lägga till programbehörigheter (applikationsroller)

Ett API måste publicera minst en apputvecklarroll för applikationer, även kallat Programbehörighet, för att klientapparna ska få en åtkomsttoken i sin egen rätt. Programbehörigheter är den typ av behörigheter som API:er bör publicera när de vill att klientprogram ska kunna autentiseras som sig själva och inte behöver logga in användare. Följ dessa steg för att publicera en applikationsbehörighet:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-ToDoList-api) för att öppna sidan Översikt.

2. Under rubriken Hantera väljer du App-roller.

3. Välj Skapa approlloch ange sedan följande värden och välj sedan Använd för att spara ändringarna:

   Fastighet	Värde
   Visningsnamn	ToDoList.Read.All
   Tillåtna medlemstyper	Applikationer
   Värde	ToDoList.Read.All
   Beskrivning	Tillåt att appen läser alla användares ToDo-lista med hjälp av "TodoListApi"
   Vill du aktivera den här rollen för appen?	Låt det vara ikryssat

4. Välj Skapa approll igen och ange sedan följande värden för den andra approllen och välj sedan Använd för att spara ändringarna:

   Fastighet	Värde
   Visningsnamn	ToDoList.ReadWrite.All
   Tillåtna medlemstyper	Applikationer
   Värde	ToDoList.ReadWrite.All
   Beskrivning	Tillåt att appen läser och skriver alla användares ToDo-lista med hjälp av "ToDoListApi"
   Vill du aktivera den här rollen för appen?	Låt det vara ikryssat

git clone https://github.com/AzureADQuickStarts/AppModelv2-NativeClient-DotNet.git

• Ladda ned den som en ZIP-fil.

git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git

• Ladda ned filen .zip. Extrahera den till en filväg där namnets längd är mindre än 260 tecken.

1. Öppna lösningen i Visual Studio och öppna sedan filen appsettings.json under roten i TodoListService-projektet.

2. Ersätt värdet på Enter_the_Application_Id_here med värdet för klient-ID (program-ID) från det program som du registrerade i appenregistreringarnas portal både i ClientID och Audience egenskaper.

Lägg till det nya omfånget i filen app.config

Följ dessa steg om du vill lägga till det nya omfånget i filen TodoListClient app.config:

1. I rotmappen för TodoListClient-projektet öppnar du filen app.config.

2. Klistra in program-ID:t från det program som du registrerade för ditt TodoListService-projekt i parametern TodoListServiceScope och ersätt {Enter the Application ID of your TodoListService from the app registration portal} strängen.

Registrera webbappen (TodoListClient)

Registrera din TodoListClient-app i Appregistreringar i administrationscentret för Microsoft Entra och konfigurera sedan koden i Projektet TodoListClient. Om klienten och servern anses vara samma program kan du återanvända programmet som registrerats i steg 2. Använd samma program om du vill att användarna ska logga in med ett personligt Microsoft-konto.

Registrera appen

Följ dessa steg för att registrera TodoListClient-appen:

1. Logga in på administrationscentret för Microsoft Entra som minst en molnprogramadministratör.

2. Bläddra till Entra ID>Appregistreringar och välj Ny registrering.

3. Välj Ny registrering.

4. När Registrera en programsida öppnas anger du programmets registreringsinformation:

   1. I avsnittet Namn anger du ett beskrivande programnamn som ska visas för appens användare (till exempel NativeClient-DotNet-TodoListClient).
   2. För kontotyper som stödsväljer du Konton i en organisationskatalog.
   3. Välj Registrera för att skapa programmet.

   Anmärkning

   I filen TodoListClient-projektet app.config anges standardvärdet för ida:Tenant till common. Möjliga värden är:

   • common: Du kan logga in med ett arbets- eller skolkonto eller ett personligt Microsoft-konto (eftersom du valde Konton i en organisationskatalog i ett tidigare steg).
   • organizations: Du kan logga in med hjälp av ett arbets- eller skolkonto.
   • consumers: Du kan bara logga in med ett personligt Microsoft-konto.

5. På sidan Översikt väljer du Authenticationoch slutför sedan de här stegen för att lägga till en plattform:

   1. Under Platform-konfigurationerväljer du knappen Lägg till en plattform.
   2. För Mobil- och skrivbordsprogramväljer du Mobil- och skrivbordsprogram.
   3. För omdirigerings-URI:er , välj kryssrutan https://login.microsoftonline.com/common/oauth2/nativeclient.
   4. Välj Konfigurera.

6. Välj API-behörigheteroch slutför sedan de här stegen för att lägga till behörigheter:

   1. Välj knappen Lägg till en behörighet.
   2. Välj fliken Mina API:er.
   3. I listan över API:er väljer du AppModelv2-NativeClient-DotNet-TodoListService API- eller det namn som du angav för webb-API:et.
   4. Markera kryssrutan för behörigheten access_as_user om den inte redan är markerad. Använd sökrutan om det behövs.
   5. Välj knappen Lägg till behörigheter.

Konfigurera projektet

Konfigurera ditt TodoListClient-projekt genom att lägga till program-ID:t i filen app.config.

1. På portalen App-registreringar, på sidan Översikt, kopiera värdet för Applikation (klient)-ID:t.

2. Från rotmappen TodoListClient-projektet öppnar du filen app.config och klistrar sedan in program-ID-värdet i parametern ida:ClientId.

1. I din IDE öppnar du projektmappen ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListAPI, som innehåller exemplet.

2. Öppna appsettings.json fil som innehåller följande kodfragment:

   {
     "AzureAd": {
       "Instance": "Enter_the_Authority_URL_Here", //For external tenants, use instance in the form of "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/"
       "TenantId": "Enter_the_Tenant_Id_Here",
       "ClientId": "Enter_the_Application_Id_Here",
       "Scopes": {
         "Read": ["ToDoList.Read", "ToDoList.ReadWrite"],
         "Write": ["ToDoList.ReadWrite"]
       },
       "AppPermissions": {
         "Read": ["ToDoList.Read.All", "ToDoList.ReadWrite.All"],
         "Write": ["ToDoList.ReadWrite.All"]
       }
     },
     "Logging": {...},
     "AllowedHosts": "*"
   }
   

   Hitta följande värden:

   • ClientId – Programmets identifierare, även kallad klienten. Ersätt den value texten inom citattecken med program-ID (klient) som spelades in tidigare från sidan Översikt i det registrerade programmet.
   • TenantId – Identifierare för hyresgästen där programmet är registrerat. Ersätt texten i citattecken value med Directory (tenant) ID-värde som registrerades tidigare från sidan Översikt för den registrerade applikationen.
   • Instance – Den anger den katalog som Microsoft Authentication Library (MSAL) kan begära token från. Ersätt Enter_the_Authority_URL_Here med något av följande värden beroende på ditt scenario:
     • För personalklienter, använd https://login.microsoftonline.com/ som instans.
     • För externa tenanter lägger du till en utfärdar-URL i form av https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/

Starta båda projekten. För Visual Studio-användare;

1. Högerklicka på Visual Studio-lösningen och välj Egenskaper

2. I Vanliga egenskaper väljer du Startprojekt och sedan Flera startprojekt.

3. För båda projekten väljer du Starta som åtgärd

4. Kontrollera att TodoListService-tjänsten startar först genom att flytta den till den första positionen i listan med hjälp av uppåtpilen.

Logga in för att köra ditt TodoListClient-projekt.

1. Tryck på F5 för att starta projekten. Tjänstsidan öppnas samt skrivbordsprogrammet.

2. I TodoListClient, längst upp till höger, väljer du Logga inoch loggar sedan in med samma autentiseringsuppgifter som du använde för att registrera ditt program eller logga in som en användare i samma katalog.

   Om du loggar in för första gången kan du uppmanas att godkänna Webb-API:et TodoListService.

   För att hjälpa dig att komma åt TodoListService-webb-API:et och ändra att-göra--listan begär inloggningen också en åtkomsttoken för access_as_user behörighet.

Förauktorisera klientprogrammet

Du kan tillåta användare från andra kataloger att komma åt webb-API:et genom att förauktorisera klientprogrammet för åtkomst till webb-API:et. Det gör du genom att lägga till program-ID:t från klientappen i listan över förauktoriserade program för webb-API:et. Genom att lägga till en förauktoriserat klient tillåter du användare att komma åt webb-API:et utan att behöva ge sitt medgivande.

1. Öppna egenskaperna för din TodoListService-app i Appregistreringar-portalen.
2. I avsnittet Exponera ett API går du till Auktoriserade klientprogramoch väljer Lägg till ett klientprogram.
3. I rutan klient-ID klistrar du in program-ID:t för TodoListClient-appen.
4. I avsnittet Auktoriserade omfång väljer du omfånget för api://<Application ID>/access_as_user webb-API.
5. Välj Lägg till program.

Kör projektet

1. Tryck på F5 för att köra projektet. Din TodoListClient-app öppnas.
2. Längst upp till höger väljer du Logga inoch loggar sedan in med ett personligt Microsoft-konto, till exempel ett live.com- eller hotmail.com-konto eller ett arbets- eller skolkonto.

Valfritt: Begränsa inloggningsåtkomsten till vissa användare

Som standard kan alla personliga konton, till exempel outlook.com eller live.com konton eller arbets- eller skolkonton från organisationer som är integrerade med Microsoft Entra-ID, begära token och komma åt ditt webb-API.

Om du vill ange vem som kan logga in på ditt program ändrar du egenskapen TenantId i filen appsettings.json.

1. Kör följande kommando från roten i webb-API-projektkatalogen för att starta appen:

   dotnet run
   

2. Om allt fungerade korrekt visar terminalen utdata som liknar följande:

    Building...
        info: Microsoft.Hosting.Lifetime[14]
              Now listening on: https://localhost:{port}
        info: Microsoft.Hosting.Lifetime[0]
              Application started. Press Ctrl+C to shut down.
        info: Microsoft.Hosting.Lifetime[0]
              Hosting environment: Development
   ...
   

   Registrera portnumret i https://localhost:{port} URL:en.

3. Kontrollera att slutpunkten är skyddad genom att uppdatera bas-URL:en i följande cURL-kommando så att den matchar den du fick i föregående steg och kör sedan kommandot:

   curl -k -X GET https://localhost:<your-api-port>/api/todolist -w "%{http_code}\n"
   

   Det förväntade svaret är 401 Obehörigt.