次の方法で共有

資格情報マネージャーの構成 - Microsoft Graph API

適用対象: すべての API Management レベル

この記事では、Azure API Management 内で Microsoft Graph API への マネージド接続 を作成するために必要な手順について説明します。 この例では、承認コード許可の種類が使用されています。

次の方法を学びます:

  • Microsoft Entra アプリケーションを作成する
  • API Management で資格情報プロバイダーを作成して構成する
  • 接続を構成する
  • API Management で Microsoft Graph API を作成し、ポリシーを構成する
  • API Management で Microsoft Graph API をテストする

[前提条件]

手順 1: Microsoft Entra アプリケーションを作成する

API 用の Microsoft Entra アプリケーションを作成し、呼び出す要求に適切なアクセス許可を付与します。

  1. テナントで十分なアクセス許可を持つアカウントで Azure portal にサインインします。

  2. Microsoft Entra ID を検索して選択します。

  3. サイドバー メニューの [ 管理 ] で、[ アプリの登録] を選択し、[ + 新規登録] を選択します。

  4. [ アプリケーションの登録 ] ページで、アプリケーション登録設定を入力します。

    1. [ 名前] に、アプリのわかりやすい名前 ( MicrosoftGraphAuth など) を入力します。

    2. [サポートされているアカウントの種類] で、シナリオに合ったオプション (この組織のディレクトリ内のアカウントのみ (シングル テナント) など) を選択します。

    3. リダイレクト URI をWeb に設定し、「https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>」と入力し、資格情報プロバイダーを構成する API Management サービスの名前に置き換えます。

    4. 登録 を選択します。

      ポータルで Microsoft Entra アプリの登録を作成するスクリーンショット。

  5. サイドバー メニューで、[ API のアクセス許可] を選択し、[ + アクセス許可の追加] を選択します。 ポータルでの API アクセス許可の追加のスクリーンショット。

    1. Microsoft Graph を選択し、[委任されたアクセス許可] を選択します。

      Delegated 型のアクセス許可 User.Read が既に追加されていることを確認します。

    2. 「チーム」と入力し、チーム オプションを展開して Team.ReadBasic.All を選択します。 アクセス許可の追加 を選択します。
    3. 次に、[ 既定のディレクトリに管理者の同意を与える] を選択します。 アクセス許可の状態が [ 既定のディレクトリに付与] に変わります。

  6. サイドバー メニューの [ 概要] を選択します。 [ 概要 ] ページで、 アプリケーション (クライアント) ID の値を見つけて、手順 2 で使用するために記録します。

  7. サイドバー メニューの [ 証明書とシークレット] を選択し、[ + 新しいクライアント シークレット] を選択します。 ポータルでアプリ シークレットを作成するスクリーンショット。

    1. [Description]\(説明\) を入力します。
    2. [有効期限] のオプションを選択します。
    3. [] を選択し、[] を追加します。
    4. ページを離れる前に、クライアント シークレットの をコピーします。 手順 2 で必要になります。

手順 2: API Management で資格情報プロバイダーを構成する

  1. API Management インスタンスに移動します。

  2. サイドバー メニューの [API ] で 、[ 資格情報マネージャー] を選択し、[ + 作成] を選択します。 ポータルで API 資格情報を作成するスクリーンショット。

  3. [ 資格情報プロバイダーの作成 ] ページで、次の設定を入力し、[ 作成] を選択します。

    設定 価値
    資格情報プロバイダー名 選択した名前 (MicrosoftEntraID-01 など)
    ID プロバイダー Azure Active Directory v1 を選択する
    許可の種類 承認コードの選択
    承認 URL Microsoft Entra ID プロバイダーの場合は省略可能です。 既定値は https://login.microsoftonline.com です。
    クライアント ID 前にアプリの登録からコピーした値を貼り付けます
    クライアント シークレット 前にアプリの登録からコピーした値を貼り付けます
    リソース URL https://graph.microsoft.com
    テナント ID Microsoft Entra ID プロバイダーの場合は省略可能です。 既定値は Common です
    スコープ Microsoft Entra ID プロバイダーの場合は省略可能です。 Microsoft Entra アプリの API アクセス許可から自動的に構成されます。

  4. を選択してを作成します。

手順 3: 接続を構成する

[ 接続 ] タブで、プロバイダーへの接続の手順を完了します。

接続を構成すると、API Management は既定で、インスタンスのシステム割り当てマネージド ID によるアクセスを有効にするアクセス ポリシー を設定します。 この例では、このアクセスで十分です。 必要に応じて、さらにアクセス ポリシーを追加できます。

  1. 接続名を入力し、[保存] を選択します。
  2. [手順 2: 接続にログインする (承認コード許可の種類の場合)] で、[ログイン] ボタンを選択します。 アクセスを承認し、API Management に戻る手順を完了します。
  3. [手順 3: この接続にアクセスできるユーザーを決定する (アクセス ポリシー)]で、マネージド ID メンバーが一覧表示されます。 シナリオによっては、他のメンバーの追加は省略可能です。
  4. [Complete]\(完了\) を選択します。

新しい接続が接続の一覧に表示され、状態が [接続済み] と表示されます。 資格情報プロバイダー用に別の接続を作成する場合は、前の手順を実行します。

ヒント

ポータルを使用して、資格情報プロバイダーへの接続をいつでも追加、更新、または削除できます。 詳細については、「 複数の接続を構成する」を参照してください。

この手順の後に Microsoft Graph のアクセス許可を更新する場合は、手順 2 と 3 を繰り返す必要があります。

手順 4: API Management で Microsoft Graph API を作成し、ポリシーを構成する

  1. サイドバー メニューの[API][API]を選択します。

  2. [HTTP] を選択し、次の設定を入力します。 次に、[ 作成] を選択します。

    Setting 価値
    表示名 msgraph
    Web サービスの URL https://graph.microsoft.com/v1.0
    API URL サフィックス msgraph

  3. 新しく作成された API に移動し、[ + 操作の追加] を選択します。 次の設定を入力し、[ 保存] を選択します。

    Setting 価値
    表示名 getprofile
    GET の URL /me

  4. 前の手順に従って、次の設定で別の操作を追加します。

    Setting 価値
    表示名 getJoinedTeams
    GET の URL /me/joinedTeams

  5. [すべての操作] を選択します。 [ 受信処理 ] セクションで、 </> (コード エディター) アイコンを選択します。

  6. 次のスニペットをコピーして貼り付けます。 前の手順で構成した資格情報プロバイダーと接続の名前で get-authorization-context ポリシーを更新し、[ 保存] を選択します。

    • 資格情報プロバイダー名を次の値に置き換える provider-id
    • 接続名を次の値に置き換える authorization-id
    <policies>
    <inbound>
        <base />
        <get-authorization-context provider-id="MicrosoftEntraID-01" authorization-id="first-connection" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
       <set-header name="Authorization" exists-action="override">
           <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
       </set-header>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

上記のポリシー定義は、次の 2 つの部分で構成されています。

  • get-authorization-context ポリシーは、前に作成した資格情報プロバイダーと接続を参照して、承認トークンをフェッチします。
  • set-header ポリシーは、フェッチされたアクセス トークンを含む HTTP ヘッダーを作成します。

手順 5: API をテストする

  1. [ テスト ] タブで、構成した操作を 1 つ選択します。

  2. [Send] を選択します。

    ポータルでの Graph API のテストのスクリーンショット。

    応答が成功すると、Microsoft Graph からユーザー データが返されます。

関連コンテンツ