تخويل حسابات المطورين باستخدام معرف Microsoft Entra في Azure API Management

ستتعرف في هذه المقالة على كيفية:

• تمكين الوصول إلى مدخل المطور للمستخدمين من Microsoft Entra ID.
• إدارة مجموعات مستخدمي Microsoft Entra عن طريق إضافة مجموعات خارجية تحتوي على المستخدمين.

للحصول على نظرة عامة حول خيارات تأمين مدخل المطور، راجع الوصول الآمن إلى مدخل مطور APIM.

هام

• تم تحديث هذه المقالة بخطوات لتكوين تطبيق Microsoft Entra باستخدام مكتبة مصادقة Microsoft (MSAL).
• إذا قمت مسبقا بتكوين تطبيق Microsoft Entra لتسجيل دخول المستخدم باستخدام مكتبة مصادقة Azure AD (ADAL)، نوصي بالترحيل إلى MSAL.

المتطلبات الأساسية

• أكمل التشغيل السريعلمثيل Azure APIM.

• استيراد ونشر واجهة برمجة التطبيقات في مثيل Azure APIM.

• استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.

  

• إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.

  • إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.

  • عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.

  • يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.

ينطبق على: المطور | قياسي | بريميوم

الانتقال إلى مثيل إدارة واجهة برمجة التطبيقات لديك

1. في مدخل Microsoft Azure، ابحث عن خدمات APIM وحددها.

   

2. في صفحة خدمات إدارة واجهة برمجة التطبيقات، حدد مثيل إدارة واجهة برمجة التطبيقات.

   

تمكين تسجيل دخول المستخدم باستخدام معرف Microsoft Entra - المدخل

لتبسيط التكوين، يمكن لإدارة واجهة برمجة التطبيقات تمكين تطبيق Microsoft Entra وموفر الهوية تلقائيا لمستخدمي مدخل المطور. بدلا من ذلك، يمكنك تمكين تطبيق Microsoft Entra وموفر الهوية يدويا.

تمكين تطبيق Microsoft Entra وموفر الهوية تلقائيا

1. في القائمة اليسرى لمثيل APIM، ضمن Developer portal، حدد Portal overview.

2. في صفحة نظرة عامة على المدخل، قم بالتمرير لأسفل لتمكين تسجيل دخول المستخدم باستخدام معرف Microsoft Entra.

3. حدد Enable Microsoft Entra ID.

4. في صفحة Enable Microsoft Entra ID ، حدد Enable Microsoft Entra ID.

5. حدد إغلاق.

   

بعد تمكين موفر Microsoft Entra:

• يمكن للمستخدمين في مثيل Microsoft Entra المحدد تسجيل الدخول إلى مدخل المطور باستخدام حساب Microsoft Entra.
• يمكنك إدارة تكوين Microsoft Entra في صفحة هويات مدخل>المطور في المدخل.
• قم بتكوين إعدادات تسجيل الدخول الأخرى اختياريًا عن طريق اختيار Identities>Settings. على سبيل المثال، قد ترغب في إعادة توجيه المستخدمين المجهولين إلى صفحة تسجيل الدخول.
• إعادة نشر مدخل المطور بعد أي تغيير في التكوين.

تمكين تطبيق Microsoft Entra وموفر الهوية يدويا

1. في القائمة اليسرى لمثيل APIM الخاص بك، ضمن Developer portal، حدد Identities.

2. حدد +إضافة من الأعلى لفتح جزء إضافة موفر خدمة الهوية إلى اليمين.

3. ضمن النوع، حدد معرف Microsoft Entra من القائمة المنسدلة. بعد التحديد، ستتمكن من إدخال المعلومات الضرورية الأخرى.

   • في القائمة المنسدلة مكتبة العميل ، حدد MSAL.
   • لإضافة معرف العميلوسر العميل، راجع الخطوات لاحقا في المقالة.

4. احفظ عنوان URL لإعادة التوجيهلاحقًا.

   

   إشعار

   هناك نوعان من عناوين URL لإعادة التوجيه:
   

   • يشيرعنوان URL لإعادة التوجيه إلى أحدث مدخل مطور لـ APIM.
   • يشير عنوان URL المعاد توجيهه (مدخل متوقف) إلى مدخل مطور APIM المتوقفة.

   نوصي باستخدام أحدث عنوان URL لمدخل المطورين لإعادة التوجيه.

5. في المستعرض الخاص بك، افتح مدخل Microsoft Azure في علامة تبويب جديدة.

6. انتقل إلىتسجيلات التطبيقلتسجيل تطبيق في خدمات مجال Active Directory.

7. حدد تسجيل جديد. في صفحة Register an application،قم بتعيين القيم كما يلي:

   • تعيين Name إلى اسم معنى مثل developer-portal
   • اضبط أنواع الحسابات المدعومة على حسابات في أي دليل تنظيمي.
   • في إعادة توجيه URI ، حدد ويب ولصق عنوان URL المعاد توجيهه الذي حفظته من خطوة سابقة.
   • حدد تسجيل.

8. بعد تسجيل التطبيق، انسخ معرف التطبيق (العميل)من صفحة نظرة عامة.

9. قم بالتبديل إلى علامة تبويب المستعرض باستخدام مثيل APIM.

10. في نافذةإضافة موفر الهوية ألصق قيمة معرف التطبيق (العميل) في مربعمعرف العميل.

11. قم بالتبديل إلى علامة تبويب المستعرض مع تسجيل التطبيق.

12. حدد تسجيل التطبيق المناسب.

13. ضمن قسمإدارةالقائمة الجانبية، حدد الشهادات والبيانات السرية.

14. من صفحةالشهادات والبيانات السرية، حددزر سر العميل الجديدضمنأسرار العميل.

    • أدخِل الوصف.
    • حدد أي خيار لـExpires.
    • اختر إضافة.

15. انسخ قيمة سر العميلقبل مغادرة الصفحة. سوف تحتاجها لاحقًا.

16. ضمن «إدارة»في القائمة الجانبية، حدد «مصادقة».

    1. ضمن القسم Implicit grant and hybird flows، حدد خانة الاختيار ID tokens.
    2. حدد حفظ.

17. ضمن Manage في القائمة الجانبية، حدد Token configuration> + Add optional claim.

    1. في Token type، حدد ID.
    2. حدد (تحقق) من المطالبات التالية: email، family_name، given_name.
    3. حدد إضافة. إذا تمت مطالبتك بذلك، حدد Turn on the Microsoft Graph email, profile permission.

18. قم بالتبديل إلى علامة تبويب المستعرض باستخدام مثيل APIM.

19. ألصق البيانات السرية في حقلسر العميل في جزءإضافة موفر الهوية.

    هام

    قم بتحديث سر العميل قبل انتهاء صلاحية المفتاح.

20. في الحقل "Add identity provider tenants" في جزء "Allowed tenants"، حدد مجالات مثيل Microsoft Entra التي تريد منح حق الوصول إلى واجهات برمجة التطبيقات لمثيل خدمة APIM.

    • يمكنك فصل عدة مجالات بأسطر جديدة أو مسافات أو فاصلات.

    إشعار

    يمكنك تحديد مجالات متعددة في قسمالمستأجرين المسموح لهم. يجب أن تمنح الإدارة العالمية التطبيق حق الوصول إلى بيانات الدليل قبل أن يتمكن المستخدمون من تسجيل الدخول من مجال مختلف عن نطاق تسجيل التطبيق الأصلي. لمنح الإذن، يجب على المسؤول العام:

    1. انتقل إلىhttps://<URL of your developer portal>/aadadminconsent(على سبيل المثال،https://contoso.portal.azure-api.net/aadadminconsent).
    2. أدخل اسم المجال لمستأجر Microsoft Entra الذي يريد منح حق الوصول إليه.
    3. حدد إرسال.

21. بعد تحديد التكوين المطلوب، حدد«إضافة».

22. أعد نشر مدخل المطور لكي يصبح تكوين Microsoft Entra ساري المفعول. في القائمة اليسرى، ضمن Developer portal، حدد Portal overview>Publish.

بعد تمكين موفر Microsoft Entra:

• يمكن للمستخدمين في مثيل Microsoft Entra المحدد تسجيل الدخول إلى مدخل المطور باستخدام حساب Microsoft Entra.
• يمكنك إدارة تكوين Microsoft Entra في صفحة هويات مدخل>المطور في المدخل.
• قم بتكوين إعدادات تسجيل الدخول الأخرى اختياريًا عن طريق اختيار Identities>Settings. على سبيل المثال، قد ترغب في إعادة توجيه المستخدمين المجهولين إلى صفحة تسجيل الدخول.
• إعادة نشر مدخل المطور بعد أي تغيير في التكوين.

ترحيل إلى MSAL.js

إذا قمت مسبقا بتكوين تطبيق Microsoft Entra لتسجيل دخول المستخدم باستخدام ADAL، يمكنك استخدام المدخل لترحيل التطبيق إلى MSAL وتحديث موفر الهوية في APIM.

تحديث تطبيق Microsoft Entra لتوافق MSAL

للحصول على خطوات، راجع تبديل عناوين URI لإعادة التوجيه إلى نوع التطبيق أحادي الصفحة.

تكوين موفر الهوية

1. في القائمة اليسرى لمثيل APIM الخاص بك، ضمن Developer portal، حدد Identities.
2. حدد Microsoft Entra ID من القائمة.
3. في القائمة المنسدلة مكتبة العميل ، حدد MSAL.
4. حدد تحديث.
5. إعادة نشر مدخل المطور الخاص بك.

إضافة مجموعة Microsoft Entra خارجية

الآن بعد أن قمت بتمكين الوصول للمستخدمين في مستأجر Microsoft Entra، يمكنك:

• إضافة مجموعات Microsoft Entra إلى APIM.
• التحكم في رؤية المنتج باستخدام مجموعات Microsoft Entra.

1. انتقل إلى صفحة تسجيل التطبيق للتطبيق الذي قمت بتسجيله فيالقسم السابق.
2. حدد API Permissions.
3. أضف الحد الأدنى التالي من أذونات التطبيق لواجهة برمجة تطبيقات Microsoft Graph:
   • User.Read.All إذن التطبيق - حتى تتمكن إدارة واجهة برمجة التطبيقات من قراءة عضوية مجموعة المستخدم لإجراء مزامنة المجموعة في وقت تسجيل دخول المستخدم.
   • Group.Read.All إذن التطبيق - حتى تتمكن إدارة واجهة برمجة التطبيقات من قراءة مجموعات Microsoft Entra عندما يحاول مسؤول إضافة المجموعة إلى APIM باستخدام شفرة المجموعات في المدخل.
4. حددمنح موافقة المسؤول لـ {tenantname}حتى تمنح الوصول لجميع المستخدمين في هذا الدليل.

يمكنك الآن إضافة مجموعات Microsoft Entra خارجية من علامة التبويب Groups لمثيل APIM.

1. ضمن مدخل المطور في القائمة الجانبية، حدد المجموعات.

2. حدد الزر إضافة مجموعة Microsoft Entra.

   

3. حدد «المستأجر»من القائمة المنسدلة.

4. ابحث عن المجموعة التي تريد إضافتها وحددها.

5. اضغط على الزر «تحديد».

بمجرد إضافة مجموعة Microsoft Entra خارجية، يمكنك مراجعة خصائصها وتكوينها:

1. حدد اسم المجموعة من علامة التبويب المجموعات.
2. قم بتحرير معلومات الاسم والوصف للمجموعة.

يمكن للمستخدمين من مثيل Microsoft Entra المكون الآن:

• تسجيل الدخول إلى مدخل المطور.
• العرض والاشتراك في أي مجموعات يمكنهم رؤيتها.

إشعار

تعرف على المزيد حول الفرق بين أنواع أذوناتالتفويضوالتطبيقفي الأذوناتوالموافقة فيمقالة النظام الأساسي للهويات في Microsoft.

مزامنة مجموعات Microsoft Entra مع APIM

يجب أن تتم مزامنة المجموعات التي تم تكوينها في Microsoft Entra مع APIM بحيث يمكنك إضافتها إلى المثيل الخاص بك. إذا لم تتم مزامنة المجموعات تلقائيا، فقم بأحد الإجراءات التالية لمزامنة معلومات المجموعة يدويا:

• تسجيل الخروج وتسجيل الدخول إلى معرف Microsoft Entra. عادة ما يؤدي هذا النشاط إلى مزامنة المجموعات.
• تأكد من تحديد مستأجر تسجيل الدخول إلى Microsoft Entra بنفس الطريقة (باستخدام أحد معرفات المستأجر أو اسم المجال) في إعدادات التكوين في APIM. يمكنك تحديد مستأجر تسجيل الدخول في موفر هوية معرف Microsoft Entra لمدخل المطور وعند إضافة مجموعة Microsoft Entra إلى APIM.

مدخل المطور: إضافة مصادقة حساب Microsoft Entra

في مدخل المطور، يمكنك تسجيل الدخول باستخدام معرف Microsoft Entra باستخدام زر تسجيل الدخول: عنصر واجهة مستخدم OAuth المضمن في صفحة تسجيل الدخول لمحتوى مدخل المطور الافتراضي.

على الرغم من أنه سيتم إنشاء حساب جديد تلقائيا عندما يقوم مستخدم جديد بتسجيل الدخول باستخدام معرف Microsoft Entra، ففكر في إضافة نفس عنصر واجهة المستخدم إلى صفحة التسجيل. نموذج التسجيل: تمثل أداة OAuth نموذج يستخدم للتسجيل باستخدام OAuth.

هام

تحتاج إلى إعادة نشر المدخل حتى تسري تغييرات معرف Microsoft Entra.

المحتوى ذو الصلة

• تعرف على المزيد حول معرف Microsoft Entra وOAuth2.0.
• تعرف على المزيد حول MSALوالترحيل إلى MSAL.
• استكشاف أخطاء اتصال الشبكة ب Microsoft Graph وإصلاحها من داخل VNet.