Gebruikers aanmelden en een API aanroepen in een voorbeeld van een mobiele iOS-app met behulp van systeemeigen verificatie

Van toepassing op: Externe tenants (meer informatie)

In deze quickstart leert u hoe u een iOS-voorbeeldtoepassing configureert om een ASP.NET Core-web-API aan te roepen.

Voorwaarden

• Meld gebruikers aan in het voorbeeld van een iOS-app (Swift) door gebruik te maken van native authenticatie.
• Registreer een nieuwe toepassing in het Microsoft Entra-beheercentrum voor uw web-API, geconfigureerd voor accounts in elke organisatiedirectory en persoonlijke Microsoft-accounts. Raadpleeg Een toepassing registreren voor meer informatie. Noteer de volgende waarden op de pagina Overzicht van de toepassing voor later gebruik:
  • Applicatie (client) ID
  • Directory-id (huurder)

Een web-API-toepassing registreren

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een toepassingsontwikkelaar.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om vanuit het menu Mappen en abonnementen over te schakelen naar uw externe tenant.

3. Blader naar Entra ID>App-registraties.

4. Selecteer + Nieuwe registratie.

5. Voer op de pagina Een toepassing registreren die wordt weergegeven de registratiegegevens van uw toepassing in:

   1. Voer in de sectie Naam een beschrijvende toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-ToDoList-api.

   2. Selecteer onder Ondersteunde accounttypenalleen Accounts in deze organisatiemap.

6. Selecteer Registreren om de toepassing te maken.

7. Het deelvenster Overzicht van de toepassing wordt weergegeven wanneer de registratie is voltooid. Noteer de directory-id (tenant) en de applicatie-id (client) die in de broncode van uw toepassing gebruikt moeten worden.

API-bereiken configureren

Een API moet minimaal één scope, ook wel Gedelegeerde machtiging genoemd, publiceren voor de clienttoepassingen om met succes een toegangstoken voor een gebruiker te verkrijgen. Voer de volgende stappen uit om een reikwijdte te publiceren:

1. Selecteer op de pagina App-registraties de API-toepassing die u hebt gemaakt (ciam-ToDoList-api) om de overzichtspagina te openen.

2. Selecteer onder Behereneen API beschikbaar maken.

3. Selecteer boven aan de pagina, naast de URI van de toepassings-id, de koppeling Toevoegen om een URI te genereren die uniek is voor deze app.

4. Accepteer de voorgestelde URI voor de toepassings-id, zoals api://{clientId}, en selecteer Opslaan. Wanneer uw webtoepassing een toegangstoken voor de web-API aanvraagt, wordt de URI toegevoegd als het voorvoegsel voor elk bereik dat u voor de API definieert.

5. Selecteer Onder Bereiken die door deze API zijn gedefinieerd, een bereik toevoegen.

6. Voer de volgende waarden in waarmee een leestoegang tot de API wordt gedefinieerd en selecteer vervolgens Bereik toevoegen om uw wijzigingen op te slaan:

   Vastgoed	Waarde
   Scope-naam	ToDoList.Lezen
   Wie kan toestemming geven	Alleen beheerders
   Admin toestemmingsweergavenaam	ToDo-lijst met gebruikers lezen met behulp van de TodoListApi
   Beschrijving van beheerderstoestemming	Sta toe dat de app de Takenlijst van de gebruiker kan lezen met behulp van de TodoListApi.
   Staat	Ingeschakeld

7. Selecteer Opnieuw een bereik toevoegen en voer de volgende waarden in waarmee een bereik voor lees- en schrijftoegang tot de API wordt gedefinieerd. Selecteer Bereik toevoegen om uw wijzigingen op te slaan:

   Vastgoed	Waarde
   Scope-naam	ToDoList.ReadWrite
   Wie kan toestemming geven	Alleen beheerders
   Admin toestemmingsweergavenaam	Gebruikers kunnen hun ToDo-lijst lezen en schrijven met behulp van de 'ToDoListApi'
   Beschrijving van beheerderstoestemming	Toestaan dat de app de Takenlijst van de gebruiker kan lezen en schrijven met behulp van de ToDoListApi
   Staat	Ingeschakeld

Meer informatie over het principe van minimale bevoegdheden bij het publiceren van machtigingen voor een web-API.

App-rollen configureren

Een API moet minimaal één app-rol publiceren voor toepassingen, ook wel toepassingsmachtiging genoemd, zodat de client-apps zelf een toegangstoken kunnen verkrijgen. Toepassingsmachtigingen zijn het type machtigingen dat API's moeten publiceren wanneer ze clienttoepassingen in staat willen stellen zich als zichzelf te verifiëren en geen gebruikers hoeven aan te melden. Voer de volgende stappen uit om een toepassingsmachtiging te publiceren:

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-ToDoList-api) om de overzichtspagina te openen.

2. Selecteer onder Beherenapp-rollen.

3. Selecteer App-rol maken en voer vervolgens de volgende waarden in en selecteer Toepassen om uw wijzigingen op te slaan:

   Vastgoed	Waarde
   Weergavenaam	ToDoList.Read.All
   Toegestane lidtypen	Toepassingen
   Waarde	ToDoList.Read.All
   Beschrijving	Toestaan dat de app de Takenlijst van elke gebruiker kan lezen met behulp van de TodoListApi
   Wilt u deze app-rol inschakelen?	Houd deze ingeschakeld

4. Selecteer De app-rol opnieuw maken en voer vervolgens de volgende waarden in voor de tweede app-rol en selecteer Toepassen om uw wijzigingen op te slaan:

   Vastgoed	Waarde
   Weergavenaam	ToDoList.ReadWrite.All
   Toegestane lidtypen	Toepassingen
   Waarde	ToDoList.ReadWrite.All
   Beschrijving	Toestaan dat de app de Takenlijst van elke gebruiker kan lezen en schrijven met behulp van de ToDoListApi
   Wilt u deze app-rol inschakelen?	Houd deze ingeschakeld

Optionele claims configureren

U kunt de optionele claim idtyp toevoegen om de web-API te helpen bepalen of een token een app-token is of een app + gebruikerstoken . Hoewel u een combinatie van scp - en rollenclaims voor hetzelfde doel kunt gebruiken, is het gebruik van de idtyp-claim de eenvoudigste manier om een app-token en een app + gebruikerstoken apart te vertellen. De waarde van deze claim is bijvoorbeeld app wanneer het token een token is dat alleen voor apps geldt.

API-machtigingen verlenen aan de iOS-voorbeeld-app

Zodra u zowel uw client-app als web-API hebt geregistreerd en u de API beschikbaar hebt gemaakt door bereiken te maken, kunt u de machtigingen van de client voor de API configureren door de volgende stappen uit te voeren:

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

2. Selecteer api-machtigingen onder Beheren.

3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

4. Selecteer de API's die door mijn organisatie worden gebruikt .

5. Selecteer in de lijst met API's de API, zoals ciam-ToDoList-api.

6. Selecteer de optie Gedelegeerde machtigingen .

7. Selecteer In de lijst met machtigingen toDoList.Read, ToDoList.ReadWrite (gebruik indien nodig het zoekvak).

8. Selecteer de knop Machtigingen toevoegen .

9. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de tenant echter de tenant van een klant is, kunnen de consumentengebruikers zelf geen toestemming geven voor deze machtigingen. Om dit te verhelpen, moet u als beheerder toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

   1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.

   2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide machtigingen.

10. Selecteer in de lijst Geconfigureerde machtigingen de machtigingen ToDoList.Read en ToDoList.ReadWrite , één voor één en kopieer de volledige URI van de machtiging voor later gebruik. De volledige machtigings-URI ziet er ongeveer uit als api://{clientId}/{ToDoList.Read} of api://{clientId}/{ToDoList.ReadWrite}.

Voorbeeldweb-API klonen of downloaden

Als u de voorbeeldtoepassing wilt verkrijgen, kunt u deze klonen vanuit GitHub of downloaden als een .zip-bestand.

• Als u het voorbeeld wilt klonen, opent u een opdrachtprompt en navigeert u naar de locatie waar u het project wilt maken en voert u de volgende opdracht in:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git
  

• Download het .zip-bestand. Pak het uit naar een bestandspad waarbij de lengte van de naam minder dan 260 tekens is.

Voorbeeldweb-API configureren en uitvoeren

1. Open 2-Authorization/1-call-own-api-aspnet-core-mvc/ToDoListAPI/appsettings.json bestand in de code-editor.

2. Zoek de plaatsaanduiding:

   • Enter_the_Application_Id_Here en vervang deze door de toepassings-id (client) van de web-API die u eerder hebt gekopieerd.
   • Enter_the_Tenant_Id_Here en vervang deze door de Directory (tenant) ID die u eerder hebt gekopieerd.
   • Enter_the_Tenant_Subdomain_Here en vervang dit door het subdomein Directory (tenant). Als uw primaire tenantdomein bijvoorbeeld is contoso.onmicrosoft.com, gebruikt u contoso. Indien u uw tenantnaam niet hebt, leer dan hoe u de details van uw tenant kunt lezen.

U moet uw web-API hosten voor de iOS-voorbeeld-app om deze aan te roepen. Volg Snelstartgids: Een ASP.NET-web-app implementeren om uw web-API te implementeren.

Voorbeeld van een mobiele iOS-app configureren om web-API aan te roepen

Met het voorbeeld kunt u meerdere eindpunten van Web API-URL's en sets van scopes configureren. In dit geval configureert u slechts één eindpunt voor de Web-API-URL en de bijbehorende scopes.

1. Open /NativeAuthSampleApp/ProtectedAPIViewController.swift bestand in uw Xcode. Als u macOS gebruikt, ziet u hier een voorbeeld van het codebestand ProtectedAPIViewController.swift .

2. Zoek protectedAPIUrl1 en voer de URL van uw web-API in als waarde.

   let protectedAPIUrl1: String? = nil // Developers should set the respective URL of their web API here. For example let protectedAPIUrl1: String? = "https://api.example.com/v1/resource"
   

3. Zoek protectedAPIScopes1 en stel de bereiken in die zijn vastgelegd in API-machtigingen verlenen voor de iOS-voorbeeld-app.

   let protectedAPIScopes1: [String] = [] // Developers should set the respective scopes of their web API here.For example, let protectedAPIScopes = ["api://{clientId}/{ToDoList.Read}","api://{clientId}/{ToDoList.ReadWrite}"]
   

Voorbeeld-app voor iOS uitvoeren en web-API aanroepen

Voer de volgende stappen uit om uw app te bouwen en uit te voeren:

1. Als u uw code wilt bouwen en uitvoeren, selecteert u Uitvoeren in het menu Product in Xcode. Na een geslaagde build start Xcode de voorbeeld-app in de simulator.
2. Klik op het tabblad API om de API-aanroep te testen. Een geslaagde aanroep van de web-API retourneert HTTP-200, terwijl HTTP-403 onbevoegde toegang aantekent.

Volgende stappen