Gelen sağlama API'sine erişim verme

Giriş

API temelli gelen sağlama uygulamasını yapılandırdıktan sonra, API istemcilerinin sağlama /bulkUpload API'sine istek gönderebilmesi ve sağlama günlükleri API'sini sorgulaması için erişim izinleri vermeniz gerekir. Bu öğretici, bu izinleri yapılandırma adımlarında size yol gösterir.

API istemcinizin Microsoft Entra ID ile kimlik doğrulaması yapma şekline bağlı olarak iki yapılandırma seçeneği arasından seçim yapabilirsiniz:

• Hizmet sorumlusu yapılandırma: API istemciniz Microsoft Entra kayıtlı bir uygulamanın hizmet sorumlusunu kullanmayı planlıyorsa ve OAuth istemci kimlik bilgileri verme akışını kullanarak kimlik doğrulaması yapmayı planlıyorsa bu yönergeleri izleyin.
• Yönetilen kimlik yapılandırma: API istemciniz Microsoft Entra yönetilen kimliği kullanmayı planlıyorsa bu yönergeleri izleyin.

Hizmet sorumlusu yapılandırma

Bu yapılandırma, dış API istemcisini temsil eden bir uygulamayı Microsoft Entra Id'ye kaydeder ve gelen sağlama API'sini çağırma izni verir. Hizmet sorumlusu istemci kimliği ve istemci gizli dizisi, OAuth istemci kimlik bilgileri verme akışında kullanılabilir.

1. En az Uygulama Yöneticisi oturum açma bilgileriyle Microsoft Entra yönetim merkezinde (https://entra.microsoft.com) oturum açın.
2. Microsoft Entra Id -Applications ->>Uygulama kayıtları adresine gidin.
3. Yeni kayıt seçeneğine tıklayın.
4. Bir uygulama adı girin, varsayılan seçenekleri belirtin ve Kaydet'e tıklayın.
5. Genel Bakış dikey penceresinden Uygulama (istemci) Kimliği ve Dizin (kiracı) Kimliği değerlerini kopyalayın ve API istemcinizde daha sonra kullanmak üzere kaydedin.
6. Uygulamanın bağlam menüsünde Sertifikalar ve gizli diziler seçeneğini belirleyin.
7. Yeni bir istemci gizli dizisi oluşturun. Gizli dizi ve süre sonu tarihi için bir açıklama sağlayın.
8. İstemci gizli dizisinin oluşturulan değerini kopyalayın ve daha sonra API istemcinizde kullanmak üzere kaydedin.
9. Bağlam menüsü API izinleri'nden İzin ekle seçeneğini belirleyin.
10. API izinleri iste'nin altında Microsoft Graph'ı seçin.
11. Uygulama izinleri'ni seçin.
12. AuditLog.Read.All ve SynchronizationData-User.Upload izinlerini arayın ve seçin.
13. İzin atamasını tamamlamak için sonraki ekranda Yönetici onayı ver'e tıklayın. Onay iletişim kutusunda Evet'e tıklayın. Uygulamanız aşağıdaki izin kümelerine sahip olmalıdır.
14. Artık API istemcinizle hizmet sorumlusunu kullanmaya hazırsınız.
15. Üretim iş yükleri için hizmet sorumlusu veya yönetilen kimliklerle istemci sertifikası tabanlı kimlik doğrulaması kullanmanızı öneririz.

Yönetilen kimliği yapılandırma

Bu bölümde, yönetilen kimliğe gerekli izinleri nasıl atayabileceğiniz açıklanmaktadır.

1. Yönetilen kimliği Azure kaynağınızla kullanmak üzere yapılandırın.

2. Yönetilen kimliğinizin adını Microsoft Entra yönetim merkezinden kopyalayın. Örneğin: Aşağıdaki ekran görüntüsünde "CSV2SCIMBulkUpload" adlı azure logic apps iş akışıyla ilişkili sistem tarafından atanan yönetilen kimliğin adı gösterilmektedir.

   

3. Yönetilen kimliğinize izin atamak için aşağıdaki PowerShell betiğini çalıştırın.

   Install-Module Microsoft.Graph -Scope CurrentUser
   
   Connect-MgGraph -Scopes "Application.Read.All","AppRoleAssignment.ReadWrite.All,RoleManagement.ReadWrite.Directory"
   $graphApp = Get-MgServicePrincipal -Filter "AppId eq '00000003-0000-0000-c000-000000000000'"
   
   $PermissionName = "SynchronizationData-User.Upload"
   $AppRole = $graphApp.AppRoles | `
   Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
   $managedID = Get-MgServicePrincipal -Filter "DisplayName eq 'CSV2SCIMBulkUpload'"
   New-MgServicePrincipalAppRoleAssignment -PrincipalId $managedID.Id -ServicePrincipalId $managedID.Id -ResourceId $graphApp.Id -AppRoleId $AppRole.Id
   
   $PermissionName = "AuditLog.Read.All"
   $AppRole = $graphApp.AppRoles | `
   Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
   $managedID = Get-MgServicePrincipal -Filter "DisplayName eq 'CSV2SCIMBulkUpload'"
   New-MgServicePrincipalAppRoleAssignment -PrincipalId $managedID.Id -ServicePrincipalId $managedID.Id -ResourceId $graphApp.Id -AppRoleId $AppRole.Id
   

4. İznin uygulandığını onaylamak için Microsoft Entra Id'de Kurumsal Uygulamalar altında yönetilen kimlik hizmet sorumlusunu bulun. Tüm hizmet sorumlularını görmek için Uygulama türü filtresini kaldırın.

5. Güvenlik altındaki İzinler dikey penceresine tıklayın. İznin ayarlandığından emin olun.

6. Artık API istemcinizle yönetilen kimliği kullanmaya hazırsınız.

Sonraki adımlar

• cURL kullanmaya hızlı başlangıç
• Graph Explorer'ı kullanmaya hızlı başlangıç
• API temelli gelen sağlama hakkında sık sorulan sorular