Aufrufen einer API in einer Beispiel-Node.js-Daemon-Anwendung – Microsoft Enter (2023)

Table of Contents
In diesem Artikel Anforderungen Registrieren einer Daemon-Anwendung und einer Web-API Registrieren Sie eine Web-API-Anwendung App-Rollen konfigurieren Konfigurieren Sie optionale Deklarationen Registrieren Sie die Daemon-Anwendung Erstellen eines Client-Geheimnisses Erteilen von API-Berechtigungen für die Daemon-Anwendung Klonen Sie eine Beispiel-Daemon-App und eine Web-API oder laden Sie sie herunter Projektabhängigkeiten installieren Konfigurieren Sie die Daemon-Beispielanwendung und API Ausführen und Testen der Daemon-Beispielanwendung und -API Funktionalität Datenzugriff Nächste Schritte
  • Artikel

In diesem Artikel wird anhand einer Beispiel-Node.js-Daemon-Anwendung gezeigt, wie eine Daemon-Anwendung ein Token zum Aufrufen einer Web-API erhält. Die Web-API ist für Kunden mit Azure Active Directory (Azure AD) gesichert.

Eine Daemon-Anwendung ruft ein Token in ihrem eigenen Namen auf (nicht im Namen eines Benutzers). Benutzer können nicht mit einer Daemon-Anwendung interagieren, da die Daemon-Anwendung eine eigene Identität erfordert. Dieser Anwendungstyp fordert ein Zugriffstoken basierend auf seiner Anwendungsidentität an und stellt Azure AD seine Anwendungs-ID, Anmeldeinformationen (Passwort oder Zertifikat) und den Anwendungs-ID-URI zur Verfügung.

Eine Daemon-Anwendung verwendet dieStandardzuordnung zu OAuth 2.0-Client-Anmeldeinformationen. Um den Token-Erwerbsprozess zu vereinfachen, verwendet das in diesem Artikel verwendete Beispiel dasMicrosoft-Authentifizierungsbibliothek für Knoten (MSAL-Knoten).

Anforderungen

Registrieren einer Daemon-Anwendung und einer Web-API

In diesem Schritt erstellen Sie die Web-API-Anwendungs- und Daemon-Registrierungen und geben die Bereiche Ihrer Web-API an.

Registrieren Sie eine Web-API-Anwendung

  1. etwas abonnierenMicrosoft Login Admin Centereins.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie unbedingt das Verzeichnis, das Ihren Azure AD-Mandanten für Kunden enthält:

    1. Wählen Sie das Symbol in der Symbolleiste ausVerzeichnisse und Abonnementsaußerhalb.

    2. zur Seite schauenPortaleinstellungen > Verzeichnisse und AbonnementsIhr AzureAD-Verzeichnis für Kunden in der Liste vonVerzeichnisnamenund dann auswählenAustauschaußerhalb.

  3. Wählen Sie aus dem SeitenleistenmenüAzure Active Directoryaußerhalb.

  4. Bitte treffen Sie eine WahlFormenund dannApp-Protokolleaußerhalb.

  5. Bitte treffen Sie eine Wahl+ Neuer Rekordaußerhalb.

  6. Geben Sie auf der resultierenden Seite einAntrag registrierenDie Registrierungsinformationen Ihrer Bewerbung:

    1. Geben Sie im Abschnitt „Name“ einen beschreibenden App-Namen ein, der Benutzern der App angezeigt werden soll (z. Bciam-client-app).

    2. Wählen Sie unten ausUnterstützte KontotypenDie OptionNur Konten in diesem Organisationsverzeichnisaußerhalb.

  7. Bitte treffen Sie eine WahlRegistratorum die App zu erstellen.

  8. zum BereichÜberblickSobald die Registrierung abgeschlossen ist, wird die Seite der Anwendung angezeigt. schreibe das aufVerzeichnis-ID (Mandant)es ist beiAnwendungs-ID (Client)zur Verwendung im Quellcode Ihrer Anwendung.

App-Rollen konfigurieren

Eine API muss mindestens eine Anwendungsfunktion für Anwendungen veröffentlichen, auch bekannt alsApp-Berechtigungaufgerufen, damit Clientanwendungen ein Zugriffstoken als sie selbst abrufen können. Anwendungsanmeldeinformationen sind die Art von Anmeldeinformationen, die APIs offenlegen müssen, wenn sie möchten, dass sich Clientanwendungen als sie selbst authentifizieren und Benutzer sich nicht anmelden müssen. Führen Sie die folgenden Schritte aus, um eine Antragsberechtigung zu veröffentlichen:

  1. Wählen Sie danebenApp-Protokolledie von Ihnen erstellte Anwendung (z. B.ciam-ToDoList-api) auf ihre SeiteÜberblickOffen.

  2. Wählen Sie unten ausAdministratorDie OptionAnwendungsfunktionenaußerhalb.

  3. Bitte treffen Sie eine WahlApp-Rolle erstellenaußerhalb.

    See Also
    Intel HPC Updates for ISC 2023: Aurora Almost Complete, More Falcon Shores and the Future of XPUsNode JS Windows - Comment installer ou mettre à jour Node ?Node.jsを最新バージョンにアップデートする方法【更新】[ハウツー] Node.js ioBroker を適切に更新する方法 - 2021/22 版

    1. SendenAnzeigenameGeben Sie beispielsweise einen passenden Namen für Ihre Bewerbungsberechtigung einAufgabenliste.Alles lesen.

    2. Wählen Sie unten ausZulässige MitgliedstypenDie OptionAnwendungaus, um sicherzustellen, dass andere Apps diese Berechtigung erhalten können.

    3. Geben Sie ein, wieWertToDoList.Read.AllA.

    4. SendenBeschreibungErmöglichen Sie der App, die To-Do-Liste jedes Benutzers mithilfe der TodoListApi zu lesenA.

    5. Bitte treffen Sie eine WahlAnnehmenum die Änderungen zu speichern.

  4. noch einmal wählenApp-Rolle erstellenaußerhalb:

    1. SendenAnzeigenameGeben Sie beispielsweise einen passenden Namen für Ihre Bewerbungsberechtigung einAufgabenliste.ReadWrite.Everything.

    2. Wählen Sie unten ausZulässige MitgliedstypenDie OptionAnwendungaus, um sicherzustellen, dass andere Apps diese Berechtigung erhalten können.

    3. Geben Sie ein alsWertToDoList.ReadWrite.AllA.

    4. SendenBeschreibungErmöglichen Sie der App, die Aufgabenliste jedes Benutzers mithilfe von TodoListApi zu lesen und zu schreibenA.

    5. Bitte treffen Sie eine WahlAnnehmenum die Änderungen zu speichern.

Konfigurieren Sie optionale Deklarationen

  1. Wählen Sie unten ausAdministratorsterbenTokenkonfigurationaußerhalb.

  2. Bitte treffen Sie eine Wahloptionalen Anspruch hinzufügenaußerhalb.

  3. Wählen Sie die Optionoptionaler Anspruchstypund dannZugangaußerhalb.

  4. Wählen Sie optionalen Anspruchidtypaußerhalb.

  5. reinklickenergänzenum die Änderungen zu speichern.

Registrieren Sie die Daemon-Anwendung

Damit Ihre Anwendung Benutzer bei Microsoft Entra registrieren kann, müssen Azure Active Directory (Azure AD)-Kunden die von Ihnen erstellte Anwendung kennen. Durch die Anwendungsregistrierung wird eine Vertrauensbeziehung zwischen der Anwendung und Microsoft Entra hergestellt. Wenn Sie eine Anwendung registrieren, generiert Azure AD eine eindeutige KennungAnwendungs-ID (Kunden-ID). Dieser Wert wird zur Identifizierung Ihrer Anwendung bei Authentifizierungsanfragen verwendet.

Die folgenden Schritte veranschaulichen, wie Sie Ihre App im Microsoft Entra Admin Center registrieren:

  1. etwas abonnierenMicrosoft Login Admin Centereins.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie unbedingt das Verzeichnis, das Ihr Azure AD für Kundenmandanten enthält:

    1. Wählen Sie das Symbol in der Symbolleiste ausVerzeichnisse und Abonnementsaußerhalb.

    2. zur Seite schauenPortaleinstellungen > Verzeichnisse und AbonnementsIhr AzureAD-Verzeichnis für Kunden in der Liste vonVerzeichnisnamenund dann auswählenAustauschaußerhalb.

  3. Wählen Sie aus dem SeitenleistenmenüAzure Active Directoryaußerhalb.

  4. Bitte treffen Sie eine WahlFormenund dannApp-Protokolleaußerhalb.

  5. Bitte treffen Sie eine Wahl+ Neuer Rekordaußerhalb.

  6. Geben Sie auf der resultierenden Seite einAntrag registrierenDie Registrierungsinformationen Ihrer Bewerbung:

    See Also
    [HowTo] Debian での Nodejs のインストールとアップグレードバージョン3.0がリリースされました

    1. Betreten Sie den AbschnittNameGeben Sie einen beschreibenden App-Namen ein, den Benutzer der App sehen sollen (z. Bciam-client-app).

    2. Wählen Sie unten ausUnterstützte KontotypenDie OptionNur Konten in diesem Organisationsverzeichnisaußerhalb.

  7. Bitte treffen Sie eine WahlRegistrator.

  8. ÖÜbersichtspanelSobald die Registrierung abgeschlossen ist, wird die Seite der Anwendung angezeigt. schreibe das aufVerzeichnis-ID (Mandant)es ist beiAnwendungs-ID (Client)zur Verwendung im Quellcode Ihrer Anwendung.

Erstellen eines Client-Geheimnisses

Erstellen Sie einen geheimen Clientschlüssel für die registrierte Anwendung. Die App verwendet das Client-Geheimnis als Identitätsnachweis beim Anfordern von Token.

  1. Wählen Sie danebenApp-Protokolledie von Ihnen erstellte Anwendung (z. B.ciam-client-app) auf ihre SeiteÜberblickOffen.

  2. Wählen Sie unten ausAdministratorDie OptionZertifikate und Geheimnisseaußerhalb.

  3. Bitte treffen Sie eine Wahlneues Kundengeheimnis.

  4. Geben Sie in das Feld einBeschreibungGeben Sie eine Beschreibung für das Client-Geheimnis ein (z. B.Jetzt ist die Clientanwendung geheim).

  5. Wählen Sie unten ausVerfallsdatumeine Gültigkeitsdauer für den geheimen Schlüssel (gemäß den Sicherheitsregeln Ihrer Organisation) und dannergänzenaußerhalb.

  6. Beobachten Sie dasWertdes Geheimnisses. Dieser Wert wird in einem späteren Schritt zur Konfiguration verwendet.

Wahrnehmen

Der Geheimwert wird nicht mehr angezeigt oder anderweitig abgerufen, nachdem Sie die Seite „Zertifikate und Geheimnisse“ verlassen. Also schreib es auf.
Um die Sicherheit zu verbessern, sollten SieZertifikateanstelle von Client-Geheimnissen verwenden.

Erteilen von API-Berechtigungen für die Daemon-Anwendung

  1. Wählen Sie danebenApp-Protokolledie von Ihnen erstellte Anwendung (z. B.ciam-client-app) außerhalb.

  2. Wählen Sie unten ausAdministratorDie OptionAPI-Berechtigungen.

  3. Wählen Sie unten auskonfigurierte BerechtigungenDie OptionBerechtigung hinzufügenaußerhalb.

  4. Tab auswählenMeine APIsaußerhalb.

  5. Wählen Sie in der Liste der APIs beispielsweise die API ausciam-ToDoList-api.

  6. Wählen Sie die OptionApp-Berechtigungenaußerhalb. Wir haben diese Option ausgewählt, weil sich die Anwendung als sie selbst anmeldet, nicht als Benutzer.

  7. Wählen Sie aus der Whitelist ausTodoList.Read.All, ToDoList.ReadWrite.All(verwenden Sie ggf. das Suchfeld).

  8. Wählen Sie die SchaltflächeBerechtigungen hinzufügenaußerhalb.

  9. Zu diesem Zeitpunkt haben Sie die Berechtigungen korrekt zugewiesen. Da die Daemon-Anwendung jedoch keine Interaktion mit Benutzern zulässt, können die Benutzer selbst diesen Berechtigungen nicht zustimmen. Um dieses Problem zu beheben, müssen Sie als Administrator im Namen aller Mandantenbenutzer diesen Berechtigungen zustimmen:

    1. Bitte treffen Sie eine WahlErteilen Sie die Zustimmung des Administratorsund dannEaußerhalb.

    2. Bitte treffen Sie eine WahlAktualisierenund stellen Sie sicher, dass beide Berechtigungen habenStatusder Staatgewährtwird gezeigt.

Klonen Sie eine Beispiel-Daemon-App und eine Web-API oder laden Sie sie herunter

Um den Beispiel-Webanwendungscode zu erhalten, können Sie wie folgt vorgehen:

  • Laden Sie die ZIP-Datei herunterOder klonen Sie die Beispiel-Webanwendung von GitHub, indem Sie den folgenden Befehl ausführen:

    Git-Klon https://github.com/Azure-Samples/ms-identity-ciam-javascript-tutorial.git

wenn du stirbst.ReißverschlussExtrahieren Sie die Beispielanwendungsdatei in einen Ordner, dessen Gesamtpfadlänge 260 Zeichen oder weniger beträgt.

Projektabhängigkeiten installieren

  1. Öffnen Sie ein Konsolenfenster und wechseln Sie in das Verzeichnis mit der Node.js-Beispielanwendung:

    cd 2-Authorization\3-call-api-node-daemon\App

  2. Führen Sie die folgenden Befehle aus, um Anwendungsabhängigkeiten zu installieren:

    npm install && npm update

Konfigurieren Sie die Daemon-Beispielanwendung und API

So verwenden Sie die App-Registrierung in der Beispiel-Client-Web-App:

  1. öffne dasApp\authConfig.jsDatei in Ihrem Code-Editor.

  2. Suchen Sie den folgenden Platzhalter:

    • Enter_the_Application_Id_Hier, und ersetzen Sie es durch die Anwendungs-ID (Client-ID) der Daemon-Anwendung, die Sie zuvor registriert haben.

    • Enter_the_Tenant_Subdomain_Hierund ersetzt es durch die Unterdomäne des Verzeichnisses (den Mandanten). Wenn Ihre primäre Mandantendomäne beispielsweise istcontoso.onmicrosoft.comaber socontoso. Wenn Sie den Namen Ihres Mieters nicht kennen, können Sie dies tunLesen Sie Ihre Kundendaten.

    • Enter_the_Client_Secret_Hereund ersetzen Sie ihn durch den App-Geheimniswert, den Sie zuvor kopiert haben.

    • Enter_the_Web_Api_Application_Id_Hereund ersetzen Sie es durch die Anwendungs-ID (Client-ID) der Anwendung, die Sie zuvor registriert haben.

So verwenden Sie die Anwendungsregistrierung im Web-API-Beispiel:

  1. öffne dasAPI\ToDoListAPI\appsettings.jsonDatei in Ihrem Code-Editor.

  2. Suchen Sie den folgenden Platzhalter:

    • Enter_the_Application_Id_Hierund ersetzen Sie sie durch die Anwendungs-ID (Client-ID) der von Ihnen kopierten Web-API.

    • Enter_the_Tenant_Id_Hereund ersetzen Sie es durch die Verzeichnis-ID (Mandanten-ID), die Sie zuvor kopiert haben.

    • Enter_the_Tenant_Subdomain_Hierund ersetzt es durch die Unterdomäne des Verzeichnisses (den Mandanten). Wenn Ihre primäre Mandantendomäne beispielsweise istcontoso.onmicrosoft.comaber socontoso. Wenn Sie den Namen Ihres Mieters nicht kennen, können Sie dies tunLesen Sie Ihre Kundendaten.

Ausführen und Testen der Daemon-Beispielanwendung und -API

  1. Öffnen Sie ein Konsolenfenster und führen Sie die Web-API mit den folgenden Befehlen aus:

    cd 2-Authorization\3-call-api-node-daemon\API\ToDoListAPIdotnet ausführen

  2. Führen Sie den Web-App-Client mit den folgenden Befehlen aus:

    2-Authorization\3-call-api-node-daemon\App node . --op getToDos

Wenn die Daemon-App und die Web-API erfolgreich ausgeführt werden, sollten Sie im Konsolenfenster etwas Ähnliches wie das folgende JSON-Array sehen

{ id: 1, Besitzer: '3e8....-db63-43a2-a767-5d7db...', Beschreibung: 'Lebensmittel besorgen'},{ id: 2, Besitzer: 'c3cc....-c4ec - 4531-a197-cb919ed.....', Beschreibung: 'Vollständiger Rechnungsbericht'},{ id: 3, Eigentümer: 'a35e....-3b8a-4632-8c4f-ffb840d.....', Beschreibung : 'Wasserpflanzen'}

Funktionalität

Die Node.js-App verwendet dieOAuth 2.0-Zuordnung zu Client-Anmeldeinformationenum ein Zugriffstoken für sich selbst und nicht für den Benutzer zu erhalten. Das von der App angeforderte Zugriffstoken enthält die Berechtigungen, dargestellt als Rollen. Der Client-Anmeldeinformationsfluss verwendet diesen Satz von Berechtigungen anstelle von Benutzerbereichen für Anwendungstokens. Zuvor hatten Sie eine Web-APIhat diese App-Berechtigungen verfügbar gemachtedann dem Anwendungsdämon gewährt.

Auf der API-Seite muss die Web-API prüfen, ob das Zugriffstoken über die erforderlichen Berechtigungen (Anwendungsberechtigungen) verfügt. Die Web-API kann kein Zugriffstoken akzeptieren, das nicht über die erforderlichen Berechtigungen verfügt.

Datenzugriff

Ein Web-API-Endpunkt muss bereit sein, Aufrufe von Benutzern und Anwendungen anzunehmen. Daher muss es eine Möglichkeit geben, auf jede Anfrage angemessen zu reagieren. Wenn beispielsweise ein Benutzer über delegierte Berechtigungen/Bereiche aufgerufen wird, wird die Aufgabenliste des Benutzers abgerufen. Andererseits kann ein Aufruf einer App über die Berechtigungen/Rollen der App die gesamte To-Do-Liste in Anspruch nehmen. In diesem Artikel führen wir jedoch nur einen Anwendungsaufruf durch, sodass wir keine delegierten Bereiche/Berechtigungen konfigurieren müssen.

Nächste Schritte

  • lernen wieHolen Sie sich ein Zugriffstoken und rufen Sie dann eine Web-API in Ihrer eigenen Node.js-Daemon-Anwendung auf.

  • lernen wieVerwenden Sie Client-Zertifikate anstelle von Geheimnissen, um sich bei Ihrer Node.js-Webanwendung zu authentifizieren.

  • Lerne mehr überBerechtigungen und Einwilligung.

Top Articles
Latest Posts
Article information

Author: Terrell Hackett

Last Updated: 06/04/2023

Views: 6202

Rating: 4.1 / 5 (72 voted)

Reviews: 95% of readers found this page helpful

Author information

Name: Terrell Hackett

Birthday: 1992-03-17

Address: Suite 453 459 Gibson Squares, East Adriane, AK 71925-5692

Phone: +21811810803470

Job: Chief Representative

Hobby: Board games, Rock climbing, Ghost hunting, Origami, Kabaddi, Mushroom hunting, Gaming

Introduction: My name is Terrell Hackett, I am a gleaming, brainy, courageous, helpful, healthy, cooperative, graceful person who loves writing and wants to share my knowledge and understanding with you.