اتصالات OAuth 2.0 في مدير بيانات الاعتماد - تفاصيل العملية والتدفقات
ينطبق على: جميع مستويات إدارة واجهة برمجة التطبيقات
توفر هذه المقالة تفاصيل حول تدفقات العملية لإدارة اتصالات OAuth 2.0 باستخدام مدير بيانات الاعتماد في Azure API Management. تنقسم تدفقات العملية إلى جزأين: الإدارة ووقت التشغيل.
للحصول على خلفية حول إدارة بيانات الاعتماد في APIM، راجع حول إدارة بيانات الاعتماد وبيانات اعتماد واجهة برمجة التطبيقات في APIM.
إدارة الاتصالات
يهتم جزء الإدارة من الاتصالات في إدارة بيانات الاعتماد بإعداد وتكوين موفر بيانات اعتماد الرموز المميزة OAuth 2.0، وتمكين تدفق الموافقة للموفر، وإعداد اتصال واحد أو أكثر بموفر بيانات الاعتماد للوصول إلى بيانات الاعتماد.
تلخص الصورة التالية تدفق العملية لإنشاء اتصال في APIM الذي يستخدم نوع منح رمز التخويل.
| الخطوة | الوصف |
|---|---|
| 1 | يرسل العميل طلبا لإنشاء موفر بيانات اعتماد |
| 2 | يتم إنشاء موفر بيانات الاعتماد، ويتم إرسال استجابة مرة أخرى |
| 3 | يرسل العميل طلبا لإنشاء اتصال |
| 4 | يتم إنشاء الاتصال، ويتم إرسال استجابة مرة أخرى بالمعلومات التي تفيد بأن الاتصال غير "متصل" |
| 5 | يرسل العميل طلبا لاسترداد عنوان URL لتسجيل الدخول لبدء موافقة OAuth 2.0 لدى موفر بيانات الاعتماد. يتضمن الطلب عنوان URL بعد إعادة التوجيه لاستخدامه في الخطوة الأخيرة |
| 6 | يتم إرجاع الاستجابة بعنوان URL لتسجيل الدخول الذي يجب استخدامه لبدء تدفق الموافقة. |
| 7 | يفتح العميل مستعرضًا بعنوان URL لتسجيل الدخول الذي تم توفيره في الخطوة السابقة. تتم إعادة توجيه المتصفح إلى تدفق موافقة OAuth 2.0 لموفر بيانات الاعتماد |
| 8 | بعد الموافقة على الموافقة، تتم إعادة توجيه المتصفح باستخدام رمز تخويل إلى عنوان URL لإعادة التوجيه الذي تم تكوينه في موفر بيانات الاعتماد |
| 9 | تستخدم إدارة واجهة برمجة التطبيقات رمز التخويل لجلب الرموز المميزة للوصول والتحديث |
| 10 | تتلقى APIM الرموز المميزة وتشفيرها |
| 11 | إعادة توجيه إدارة واجهة برمجة التطبيقات إلى عنوان URL المقدم من الخطوة 5 |
موفر بيانات الاعتماد
عند تكوين موفر بيانات الاعتماد، يمكنك الاختيار بين موفري OAuth مختلفين وأنواع المنح (رمز التخويل أو بيانات اعتماد العميل). يتطلب كل موفر تكوينات محددة. أشياء مهمة يجب أن تضعها في الاعتبار:
- يمكن أن يكون لتكوين موفر بيانات الاعتماد نوع منحة واحد فقط.
- يمكن أن يكون لتكوين موفر بيانات الاعتماد واحد اتصالات متعددة.
إشعار
مع موفر OAuth 2.0 العام، يمكن استخدام موفري الهوية الآخرين الذين يدعمون معايير تدفق OAuth 2.0.
عند تكوين موفر بيانات اعتماد، يقوم مدير بيانات الاعتماد خلف الكواليس بإنشاء مخزن بيانات اعتماد يستخدم لتخزين رموز الوصول المميزة OAuth 2.0 الخاصة بالموفر مؤقتا وتحديث الرموز المميزة.
الاتصال إلى موفر بيانات اعتماد
للوصول إلى الرموز المميزة لموفر واستخدامها، تحتاج تطبيقات العميل إلى اتصال بموفر بيانات الاعتماد. يسمح باتصال معين بواسطة نهج الوصول استنادا إلى هويات معرف Microsoft Entra. يمكنك تكوين اتصالات متعددة لموفر.
تختلف عملية تكوين اتصال استنادا إلى المنحة المكونة وهي خاصة بتكوين موفر بيانات الاعتماد. على سبيل المثال، إذا كنت تريد تكوين معرف Microsoft Entra لاستخدام كلا النوعين من المنح، فهناك حاجة إلى تكوينين لموفر بيانات الاعتماد. يلخص الجدول التالي نوعي المنح.
| نوع المنحة | الوصف |
|---|---|
| التعليمة البرمجية للتخويل | مرتبط بسياق مستخدم، ما يعني أن المستخدم يحتاج إلى الموافقة على الاتصال. طالما أن الرمز المميز للتحديث صالح، يمكن لإدارة واجهة برمجة التطبيقات استرداد رموز مميزة جديدة للوصول والتحديث. إذا أصبح الرمز المميز للتحديث غير صالح، يحتاج المستخدم إلى إعادة المصادقة. يدعم جميع موفري بيانات الاعتماد رمز التخويل. معرفة المزيد |
| بيانات اعتماد العميل | غير مرتبط بمستخدم وغالبا ما يستخدم في سيناريوهات التطبيق إلى التطبيق. لا توجد موافقة مطلوبة لنوع منح بيانات اعتماد العميل، ولا يصبح الاتصال غير صالح. معرفة المزيد |
الموافقة
بالنسبة للاتصالات المستندة إلى نوع منح رمز التخويل، يجب عليك المصادقة على الموفر والموافقة على التخويل. بعد تسجيل الدخول والتخويل بنجاح من قبل موفر بيانات الاعتماد، يقوم الموفر بإرجاع رموز مميزة صالحة للوصول والتحديث، والتي يتم تشفيرها وحفظها بواسطة APIM.
نهج الوصول
يمكنك تكوين نهج وصول واحد أو أكثر لكل اتصال. تحدد نهج الوصول هويات معرف Microsoft Entra التي يمكنها الوصول إلى بيانات الاعتماد الخاصة بك في وقت التشغيل. تدعم الاتصال الوصول حاليا باستخدام كيانات الخدمة وهوية مثيل APIM والمستخدمين والمجموعات.
| الهوية | الوصف | المزايا | الاعتبارات |
|---|---|---|---|
| كيان الخدمة | الهوية التي يمكن استخدام رموزها المميزة للمصادقة ومنح حق الوصول إلى موارد Azure معينة، عندما تستخدم مؤسسة معرف Microsoft Entra. باستخدام كيان خدمة، تتجنب المؤسسات إنشاء مستخدمين وهميين لإدارة المصادقة عندما يحتاجون إلى الوصول إلى مورد. كيان الخدمة هو هوية Microsoft Entra التي تمثل تطبيق Microsoft Entra مسجلا. | يسمح بوصول أكثر إحكاما إلى سيناريوهات الاتصال وتفويض المستخدم. غير مرتبط بمثيل APIM محدد. يعتمد على معرف Microsoft Entra لفرض الأذونات. | يتطلب الحصول على سياق التخويل رمزا مميزا لمعرف Microsoft Entra. |
الهوية المدارة <Your API Management instance name> |
يتوافق هذا الخيار مع هوية مدارة مرتبطة بمثيل APIM. | بشكل افتراضي، يتم توفير الوصول إلى الهوية المدارة المعينة من قبل النظام لمثيل إدارة واجهة برمجة التطبيقات المقابل. | الهوية مرتبطة بمثيل APIM الخاص بك. يمكن لأي شخص لديه حق وصول المساهم إلى مثيل APIM الوصول إلى أي اتصال يمنح أذونات الهوية المدارة. |
| المستخدمون أو المجموعات | المستخدمون أو المجموعات في مستأجر معرف Microsoft Entra. | يسمح لك بالحد من الوصول إلى مستخدمين محددين أو مجموعات من المستخدمين. | يتطلب أن يكون لدى المستخدمين حساب معرف Microsoft Entra. |
وقت تشغيل الاتصالات
يتطلب جزء وقت التشغيل تكوين واجهة برمجة تطبيقات OAuth 2.0 الخلفية مع النهجget-authorization-context. في وقت التشغيل، يجلب النهج الرموز المميزة للوصول والتحديث ويخزنها من مخزن بيانات الاعتماد الذي أعده APIM للموفر. عندما يأتي استدعاء إلى APIM، ويتم get-authorization-context تنفيذ النهج، فإنه يتحقق أولا ما إذا كان رمز التخويل الحالي صالحا. إذا انتهت صلاحية الرمز المميز للتخويل، تستخدم APIM تدفق OAuth 2.0 لتحديث الرموز المميزة المخزنة من موفر بيانات الاعتماد. ثم يتم استخدام الرمز المميز للوصول لتخويل الوصول إلى خدمة الواجهة الخلفية.
في أثناء تنفيذ النهج، يتم أيضًا التحقق من الوصول إلى الرموز المميزة باستخدام نهج الوصول.
تعرض الصورة التالية مثالا لتدفق العملية لجلب وتخزين الرموز المميزة للتخويل والتحديث استنادا إلى اتصال يستخدم نوع منح رمز التخويل. بعد استرداد الرموز المميزة، يتم إجراء استدعاء إلى واجهة برمجة التطبيقات الخلفية.
| الخطوة | الوصف |
|---|---|
| 1 | يرسل العميل طلبا إلى مثيل APIM |
| 2 | يتحقق النهج get-authorization-context ما إذا كان الرمز المميز للوصول صالحا للاتصال الحالي |
| 3 | إذا انتهت صلاحية الرمز المميز للوصول ولكن الرمز المميز للتحديث صالح، تحاول إدارة واجهة برمجة التطبيقات إحضار رموز وصول وتحديث جديدة من موفر بيانات الاعتماد المكون |
| 4 | يقوم موفر بيانات الاعتماد بإرجاع كل من الرمز المميز للوصول ورمز التحديث المميز، اللذين تم تشفيرهما وحفظهما في APIM |
| 5 | بعد استرداد الرموز المميزة، يتم إرفاق الرمز المميز للوصول باستخدام set-header النهج كعنوان تخويل للطلب الصادر إلى واجهة برمجة التطبيقات الخلفية |
| 6 | يتم إرجاع الاستجابة إلى APIM |
| 7 | يتم إرجاع الاستجابة إلى العميل |
المحتوى ذو الصلة
- نظرة عامة على إدارة بيانات الاعتماد
- تكوين موفري بيانات الاعتماد لإدارة بيانات الاعتماد
- تكوين واستخدام اتصال لواجهة برمجة تطبيقات Microsoft Graph أو واجهة برمجة تطبيقات GitHub
- تكوين اتصالات تخويل متعددة لموفر
- تكوين اتصال للوصول المفوض من قبل المستخدم