Configurar o gerenciador de credenciais – API do Microsoft Graph

APLICA-SE A: todas as camadas do Gerenciamento de API

Este artigo orienta você pelas etapas necessárias para criar uma conexão gerenciada com a API do Microsoft Graph do Gerenciamento de API do Azure. Use o provedor de identidade do Microsoft Entra para chamar a API do Microsoft Graph. Este exemplo usa o tipo de concessão de código de autorização.

Observação

Neste artigo, você pode configurar o provedor de credenciais usando um tipo de concessão de código de autorização tradicional com um segredo do cliente ou um tipo de concessão de código de autorização com credenciais de identidade federadas. Escolha o caminho que melhor se ajusta ao seu cenário. As credenciais de identidade federada eliminam a necessidade de gerenciar e alternar credenciais. Para obter mais informações, consulte Visão geral das credenciais de identidade federadas na ID do Microsoft Entra.

Você aprenderá como:

  • Criar um aplicativo do Microsoft Entra
  • Criar e configurar um provedor de credenciais no Gerenciamento de API
  • Configurar uma conexão
  • Criar uma API do Microsoft Graph no Gerenciamento de API e configurar uma política
  • Teste sua API do Microsoft Graph na Gestão de API

Pré-requisitos

Etapa 1: Criar um aplicativo do Microsoft Entra

Crie um aplicativo do Microsoft Entra para a API e forneça as permissões apropriadas para as solicitações que você deseja chamar.

  1. Entre no portal do Azure com uma conta que tenha permissões suficientes no locatário.

  2. Pesquise e selecione Microsoft Entra ID.

  3. Em Gerenciar no menu da barra lateral, selecione Registros de aplicativo e, em seguida, selecione + Novo registro.

  4. Ao registrar um aplicativo, insira as configurações de registro do aplicativo:

    1. Em Nome, insira um nome significativo para o aplicativo, como MicrosoftGraphAuth.

    2. Em tipos de conta com suporte, selecione uma opção que se adapte ao seu cenário, como contas somente neste diretório organizacional (locatário único).

    3. Defina o URI de Redirecionamento para a Web e insira https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>, substituindo o nome do serviço de Gerenciamento de API em que você configura o provedor de credenciais.

    4. Selecione Registrar.

      Captura de tela da criação de um registro de aplicativo do Microsoft Entra no portal.

  5. No menu da barra lateral, selecione Gerenciar>permissões de API. Verifique se a permissão User.Read com o tipo Delegado já está adicionada.

  6. Selecione + Adicionar uma permissão. Captura de tela da adição de uma permissão de API no portal.

    1. Selecione o Microsoft Graph e, em seguida, selecione Permissões delegadas.
    2. Digite Equipe, expanda as opções de equipe e selecione Team.ReadBasic.All. Selecione Adicionar permissões.
    3. Em seguida, selecione Conceder consentimento do administrador para o Diretório Padrão. O status das permissões muda para Concedido para o Diretório Padrão.

  7. No menu da barra lateral, selecione Visão geral. Em Visão geral, localize o valor da ID do aplicativo (cliente) e registre-o para uso na Etapa 2. Se necessário, copie também o valor da ID do Diretório (locatário).

Configurar o segredo do cliente

  1. No menu da barra lateral, selecione Gerenciar>Certificados &segredos e, em seguida, selecione + Novo segredo do cliente. Captura de tela da criação de um segredo do aplicativo no portal.

    1. Insira uma Descrição.
    2. Selecione uma opção para Expira em.
    3. Selecione Adicionar.
    4. Copie o Valor da chave secreta do cliente antes de sair da página. Você precisa dela na Etapa 2.

Etapa 2: Configurar um provedor de credenciais no Gerenciamento de API

  1. Vá para sua instância de Gerenciamento de API.

  2. Em APIs no menu da barra lateral, selecione o Gerenciador de Credenciais e, em seguida, selecione + Criar. Captura de tela da criação de uma credencial de API no portal.

  3. Em Criar provedor de credenciais, insira as seguintes configurações e selecione Criar:

    Configurações Value
    Nome do provedor de credenciais Um nome de sua escolha, como MicrosoftEntraID-01
    Provedor de identidade Selecione Azure Active Directory v1
    Tipo de concessão Selecionar código de autorização
    URL de autorização Opcional para o provedor de identidade do Microsoft Entra. O padrão é https://login.microsoftonline.com.
    ID do cliente Cole o valor copiado anteriormente do registro do aplicativo
    Segredo do cliente Cole o valor do segredo do cliente que você criou na Etapa 1
    URL do recurso https://graph.microsoft.com
    ID do locatário Opcional para o provedor de identidade do Microsoft Entra. O padrão é Comum.
    Escopos Opcional para o provedor de identidade do Microsoft Entra para este tipo de concessão. Configurado automaticamente a partir das permissões de API do aplicativo Microsoft Entra.

  4. Na caixa de diálogo exibida, examine a URL de redirecionamento OAuth exibida e selecione Sim para confirmar se ela corresponde à URL inserida no registro do aplicativo.

Etapa 2: Configurar um provedor de credenciais no Gerenciamento de API

O Gerenciamento de API pode gerar credenciais de identidade federadas. Quando adicionados ao registro do aplicativo Microsoft Entra, eles estabelecem uma relação de confiança entre o Gerenciamento de API e o Microsoft Entra. Isso elimina a necessidade de gerenciar segredos para autenticação.

  1. Vá para sua instância de Gerenciamento de API.

  2. Em APIs no menu da barra lateral, selecione o Gerenciador de Credenciais e, em seguida, selecione + Criar. Captura de tela da criação de uma credencial de API no portal.

  3. Em Criar provedor de credenciais, insira as seguintes configurações e selecione Criar:

    Configurações Value
    Nome do provedor de credenciais Um nome de sua escolha, como MicrosoftEntraID-federated-01
    Provedor de identidade Selecione Azure Active Directory v1
    Tipo de concessão Selecionar código de autorização com credenciais de identidade federadas
    URL de autorização Opcional para o provedor de identidade do Microsoft Entra. O padrão é https://login.microsoftonline.com.
    ID do cliente Cole o valor copiado anteriormente do registro do aplicativo.
    URL do recurso https://graph.microsoft.com
    ID do locatário Cole o valor copiado anteriormente do registro do aplicativo.
    Escopos Opcional para o provedor de identidade do Microsoft Entra. Configurado automaticamente a partir das permissões de API do aplicativo Microsoft Entra.

  4. Na caixa de diálogo exibida, conclua as seguintes etapas:

    1. Examine a URL de redirecionamento do OAuth exibida e confirme se ela corresponde à URL inserida no registro do aplicativo.

    2. Selecione o link do aplicativo Entra para adicionar as credenciais de identidade federadas exibidas ao registro do aplicativo. Captura de tela da conclusão da configuração de um provedor de credenciais de identidade federada no portal.

    3. Na janela Adicionar uma credencial , selecione Outro emissor para o cenário de credencial federada.

    4. Em Conectar sua conta, copie e cole os valores de Emissor e Identificador de assunto da caixa de diálogo para os campos correspondentes.

    5. Em detalhes da Credencial, insira um Nome e uma Descrição opcional para a credencial. Confirme se o Público-Alvo é o mesmo exibido na caixa de diálogo no Gerenciamento de API.

    6. Selecione Adicionar para criar a credencial federada e conclua a conexão entre o Gerenciamento de API e o registro do aplicativo Microsoft Entra.

    Captura de tela da configuração de uma credencial de identidade federada no portal.

  5. Na caixa de diálogo Gerenciamento de API, selecione Sim para confirmar se deseja continuar.

Etapa 3: Configurar uma conexão

Na guia Conexão , conclua as etapas para sua conexão com o provedor.

Observação

Quando você configura uma conexão, o Gerenciamento de API, por padrão, configura uma política de acesso que permite o acesso pela identidade gerenciada atribuída pelos sistemas da instância. Esse acesso é suficiente para este exemplo. Você pode adicionar mais políticas de acesso conforme necessário.

  1. Insira um nome de conexão e, em seguida, selecione Salvar.
  2. Na Etapa 2: Faça logon em sua conexão (para o tipo de concessão de código de autorização), selecione o botão Logon . Conclua as etapas com seu provedor de identidade para autorizar o acesso e retorne ao Gerenciamento de API. Após o logon bem-sucedido, o status da conexão muda para Conectado.
  3. Na Etapa 3: Determinar quem terá acesso a essa conexão (política de acesso), o membro de identidade gerenciada está listado. Adicionar outros membros é opcional, dependendo do seu cenário.
  4. Selecione Concluir.

A nova conexão aparece na lista de conexões e mostra um status de Conectado. Se você quiser criar outra conexão para o provedor de credenciais, conclua as etapas anteriores.

Dica

Use o portal para adicionar, atualizar ou excluir conexões a um provedor de credenciais a qualquer momento. Para obter mais informações, consulte Configurar várias conexões.

Observação

Se você atualizar suas permissões do Microsoft Graph após esta etapa, precisará repetir as Etapas 2 e 3.

Etapa 4: Criar uma API do Microsoft Graph no Gerenciamento de API e configurar uma política

  1. Em APIs no menu da barra lateral, selecione APIs.

  2. Selecione HTTP e insira as seguintes configurações. Em seguida, selecione Criar.

    Configurações Value
    Nome de exibição msgraph
    URL do serviço Web https://graph.microsoft.com/v1.0
    Sufixo de URL da API msgraph

  3. Vá para a API recém-criada e selecione + Adicionar operação. Insira as configurações a seguir e selecione Salvar.

    Configurações Value
    Nome de exibição getprofile
    URL para GET /me

  4. Siga as etapas anteriores para adicionar outra operação com as seguintes configurações.

    Configurações Value
    Nome de exibição getJoinedTeams
    URL para GET /me/joinedTeams

  5. Selecione Todas as operações. Na seção Processamento de Entrada , selecione o <ícone /> (editor de código).

  6. Copie e cole o snippet a seguir. Atualize a get-authorization-context política com os nomes do provedor de credenciais e da conexão que você configurou nas etapas anteriores e selecione Salvar.

    • Substitua o nome do provedor de credenciais como o valor de provider-id.
    • Substitua o nome da conexão pelo valor de authorization-id.
    <policies>
    <inbound>
        <base />
        <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
       <set-header name="Authorization" exists-action="override">
           <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
       </set-header>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

A definição de política anterior consiste em duas partes:

  • A política get-authorization-context busca um token de autorização fazendo referência ao provedor de credenciais e à conexão que você criou anteriormente.
  • A política set-header cria um cabeçalho HTTP com o token de acesso buscado.

Etapa 5: Testar a API

  1. Na guia Teste , selecione uma operação que você configurou.

  2. Selecione Enviar.

    Captura de tela do teste da API do Graph no portal.

    Uma resposta bem-sucedida retorna dados do usuário do Microsoft Graph.

Conteúdo relacionado

  • Last updated on