Autorizace vývojářských účtů pomocí Microsoft Entra ID ve službě Azure API Management

PLATÍ PRO: Vývojář | Basic v2 | Standardní | Standard v2 | Premium | Premium v2

V tomto článku se naučíte:

• Povolte přístup k portálu pro vývojáře uživatelům v tenantovi Microsoft Entra ID vaší organizace nebo v rámci jiných pracovních tenantů Microsoft Entra ID.
• Umožňuje spravovat skupiny uživatelů Microsoft Entra přidáním externích skupin, které obsahují uživatele.

Přehled možností zabezpečení portálu pro vývojáře najdete v tématu Zabezpečený přístup k API Management portálu pro vývojáře.

Důležité

• Tento článek se aktualizuje postupem konfigurace aplikace Microsoft Entra pomocí knihovny Microsoft Authentication Library (MSAL).
• Pokud jste dříve nakonfigurovali aplikaci Microsoft Entra pro přihlašování uživatelů pomocí knihovny Azure AD Authentication Library (ADAL), migrujte na MSAL.

Scénáře zahrnující externí ID Microsoftu umožňující přihlášení externích identit k portálu pro vývojáře najdete v tématu Autorizace přístupu k portálu pro vývojáře služby API Management pomocí externího ID Microsoft Entra.

Návod

Služba API Management teď podporuje přístup k portálu pro vývojáře od uživatelů ve více než jednom tenantovi Microsoft Entra ID prostřednictvím jedné registrace aplikace a konfigurace identity. V současné době je to podporováno na úrovních Developer, Standard a Premium.

Požadavky

• Dokončete rychlý start k vytvoření instance služby Azure API Management.

• Importujte a publikujte rozhraní API v instanci služby Azure API Management.

• Pokud jste instanci vytvořili ve vrstvě v2, povolte portál pro vývojáře. Další informace najdete v tématu Kurz: Přístup a přizpůsobení portálu pro vývojáře.

Přejít k instanci služby API Management

1. Na portálu Azure vyhledejte a vyberte služby API Management:

   

2. Na stránce služby API Management vyberte instanci služby API Management:

   

Povolení přihlašování uživatelů pomocí Microsoft Entra ID – portál

Kvůli zjednodušení konfigurace může API Management automaticky povolit aplikaci Microsoft Entra a zprostředkovatele identity pro uživatele portálu pro vývojáře. Alternativně můžete ručně povolit aplikaci Microsoft Entra a zprostředkovatele identity.

Automatické povolení aplikace Microsoft Entra a poskytovatele identity

Následujícím postupem automaticky povolíte ID Microsoft Entra na portálu pro vývojáře:

1. V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Přehled portálu.

2. Na stránce přehledu portálu přejděte dolů a povolte přihlášení uživatele pomocí Microsoft Entra ID.

3. Vyberte Povolit Microsoft Entra ID.

4. Na stránce Povolit Microsoft Entra ID vyberte Povolit Microsoft Entra ID.

5. Vyberte Zavřít.

   

Po povolení poskytovatele Microsoft Entra:

• Uživatelé ve vašem tenantovi Microsoft Entra se můžou přihlásit k portálu pro vývojáře pomocí účtu Microsoft Entra.
• Konfiguraci zprostředkovatele identity Microsoft Entra můžete spravovat na stránceIdentities> pro vývojáře na portálu.
• Volitelně můžete aktualizovat registraci aplikace v Microsoft Entra ID tak, aby podporovala více tenantů, jak je popsáno v tématu Konfigurace registrace aplikace pro více tenantů. Název výchozí registrace aplikace vytvořené službou API Management je stejný jako název instance služby API Management.
• Volitelně můžete nakonfigurovat další nastavení přihlašování tak, že vyberete Nastavení identit>. Můžete například chtít přesměrovat anonymní uživatele na přihlašovací stránku.
• Po jakékoli změně konfigurace znovu publikujte portál pro vývojáře.

Povolení aplikace Microsoft Entra a zprostředkovatele identity ručně

Alternativně můžete ručně povolit MICROSOFT Entra ID na portálu pro vývojáře tak, že si aplikaci zaregistrujete sami v Microsoft Entra ID a nakonfigurujete zprostředkovatele identity pro portál pro vývojáře.

1. V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Identity.

2. Vyberte + Přidat v horní části a otevřete podokno Přidat zprostředkovatele identity vpravo.

3. V části Typ vyberte Microsoft Entra ID z rozevírací nabídky. Když vyberete tuto možnost, můžete zadat další potřebné informace.

   • V rozevíracím seznamu Klientská knihovna vyberte MSAL.
   • Pokud chcete přidat ID klienta a tajný klíč klienta, přečtěte si kroky dále v článku.

4. Uložte adresu URL pro přesměrování pro pozdější použití.

   

5. V prohlížeči otevřete portál Azure na nové kartě.

6. Přejděte k registracím aplikací a zaregistrujte aplikaci v Microsoft Entra ID.

7. Vyberte Nová registrace. Na stránce Zaregistrovat aplikaci nastavte hodnoty následujícím způsobem:

   • Nastavit název na smysluplný název, například vývojář-portál
   • Nastavte podporované typy účtů a proveďte výběr vhodný pro vaše scénáře. Pokud chcete uživatelům ve více tenantech Microsoft Entra ID povolit přístup k portálu pro vývojáře, vyberte Účty v libovolném adresáři organizace (Multitenant).
   • V přesměrování URI vyberte jednostránkovou aplikaci (SPA) a vložte adresu URL pro přesměrování, kterou jste uložili v předchozím kroku.
   • Vyberte Zaregistrovat.

8. Po registraci aplikace zkopírujte ID aplikace (klienta) ze stránky Přehled .

9. Přepněte na kartu prohlížeče s vaší instancí služby API Management.

10. V okně Přidat zprostředkovatele identity vložte hodnotu ID aplikace (klienta) do pole ID klienta.

11. Přepněte na kartu prohlížeče s registrací aplikace.

12. Vyberte příslušnou registraci aplikace.

13. V části Správa boční nabídky vyberte Certifikáty a tajné kódy.

14. Na stránce Certifikáty a tajné kódy vyberte v části Tajné kódy klienta tlačítko Nový tajný kód klienta.

    • Zadejte popis.
    • Vyberte libovolnou možnost vypršení platnosti.
    • Zvolte položku Přidat.

15. Před opuštěním stránky zkopírujte hodnotu tajného klíče klienta. Budete ho potřebovat v pozdějším kroku.

16. V části Spravovat v boční nabídce vyberte Konfiguraci tokenu>+ Přidat volitelnou deklaraci identity.

    1. V typu tokenu vyberte ID.
    2. Vyberte (zaškrtněte) následující deklarace identity: e-mail, family_name, given_name.
    3. Vyberte Přidat. Pokud se zobrazí výzva, vyberte Povolte oprávnění pro e-mail a profil Microsoft Graph.

17. Přepněte na kartu prohlížeče s vaší instancí služby API Management.

18. Vložte tajemství klienta do pole Tajemství klienta v podokně Přidat zprostředkovatele identity.

    Důležité

    Před vypršením platnosti klíče aktualizujte tajný klíč klienta.

19. Ve Signin tenantovi zadejte název tenanta nebo ID pro přihlášení k Microsoft Entra. Pokud nezadáte hodnotu, použije se společný koncový bod.

20. V povolených tenantech přidejte jeden nebo více konkrétních názvů tenantů Microsoft Entra nebo ID pro přihlášení k Microsoft Entra.

    Poznámka:

    Pokud zadáte další tenanty, musí být registrace aplikace nakonfigurovaná tak, aby podporovala více tenantů. Další informace najdete v tématu Konfigurace registrace aplikace pro více tenantů.

21. Po zadání požadované konfigurace vyberte Přidat.

22. Znovu publikujte portál pro vývojáře, aby se projevila konfigurace Microsoft Entra. V levém menu v části Portál pro vývojáře vyberte Přehled portálu>Publikovat.

Po povolení poskytovatele Microsoft Entra:

• Uživatelé v zadaných tenantech Microsoft Entra se mohou přihlásit k portálu pro vývojáře pomocí účtu Microsoft Entra.
• Konfiguraci Microsoft Entra můžete spravovat na stránce Identities portálu>pro vývojáře na portálu.
• Volitelně můžete nakonfigurovat další nastavení přihlašování tak, že vyberete Nastavení identit>. Můžete například chtít přesměrovat anonymní uživatele na přihlašovací stránku.
• Po jakékoli změně konfigurace znovu publikujte portál pro vývojáře.

Migrace na MSAL

Pokud jste dříve nakonfigurovali aplikaci Microsoft Entra pro přihlašování uživatelů pomocí knihovny ADAL, můžete portál použít k migraci aplikace do knihovny MSAL a aktualizovat zprostředkovatele identity ve službě API Management.

Aktualizace aplikace Microsoft Entra pro zajištění kompatibility MSAL

Postupy najdete v tématu Přepnutí identifikátorů URI přesměrování na typ jednostránkové aplikace.

Aktualizace konfigurace zprostředkovatele identity

1. V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Identity.
2. V seznamu vyberte Microsoft Entra ID.
3. V rozevíracím seznamu Klientská knihovna vyberte MSAL.
4. Vyberte Aktualizovat.
5. Znovu publikujte portál pro vývojáře.

Konfigurace přístupu uživatelů ve více než jednom tenantovi Microsoft Entra

Poznámka:

Podpora přístupu k portálu pro vývojáře uživatelům z více tenantů Microsoft Entra ID je aktuálně dostupná na úrovních API Management Developer, Standard a Premium.

Přístup k portálu pro vývojáře můžete povolit uživatelům z více než jednoho tenanta Microsoft Entra ID. Jak to udělat:

• Nakonfigurujte registraci aplikace pro více tenantů.
• Aktualizujte konfiguraci zprostředkovatele identity Microsoft Entra ID pro portál pro vývojáře a přidejte dalšího tenanta.

Konfigurace registrace aplikace pro více tenantů

Registrace aplikace, kterou nakonfigurujete pro zprostředkovatele identity, musí podporovat více tenantů. Můžete to udělat jedním z následujících způsobů:

• Při vytváření registrace aplikace nastavte podporované typy účtů na Účty v libovolném organizačním adresáři (libovolný tenant Microsoft Entra ID – Multitenant).
• Pokud jste dříve nakonfigurovali registraci aplikace pro jednoho tenanta, aktualizujte nastavení Podporované typy účtů na stránce Spravovat>ověřování registrace aplikace.

Aktualizace konfigurace zprostředkovatele identity Microsoft Entra ID pro více tenantů

Aktualizujte konfiguraci zprostředkovatele identity a přidejte dalšího tenanta:

1. Na webu Azure Portal přejděte do vaší instance služby API Management.
2. V části Portál pro vývojáře vyberte Identity.
3. V seznamu vyberte Microsoft Entra ID.
4. Do pole ID tenanta přidejte DALŠÍ ID tenanta oddělená čárkami.
5. Aktualizujte hodnotu tenanta Signin na jednoho z nakonfigurovaných tenantů.
6. Vyberte Aktualizovat.
7. Znovu publikujte portál pro vývojáře.

Přidání externí skupiny Microsoft Entra

Po povolení přístupu pro uživatele v tenantovi Microsoft Entra můžete:

• Přidejte do služby API Management skupiny Microsoft Entra. Do tenanta, do kterého jste nasadili instanci služby API Management, musíte přidat skupiny.
• Řízení viditelnosti produktů pomocí skupin Microsoft Entra

1. Přejděte na stránku Registrace aplikace pro aplikaci, kterou jste zaregistrovali v předchozí části.
2. Vyberte oprávnění rozhraní API.
3. Přidejte následující minimální oprávnění aplikace pro rozhraní Microsoft Graph API:
   • User.Read.All oprávnění aplikace – aby služba API Management četla členství uživatele ve skupině, aby při přihlášení uživatele prováděla synchronizaci skupin.
   • Group.Read.All oprávnění aplikace – aby služba API Management mohla číst skupiny z Microsoft Entra, když se správce pokusí přidat skupinu do API Management pomocí okna Skupiny na portálu.
4. Výběrem Udělit souhlas správce pro {tenantname} udělíte přístup všem uživatelům v tomto adresáři.

Teď můžete přidat externí skupiny Microsoft Entra z karty Skupiny vaší instance služby API Management.

1. V části Portál pro vývojáře v boční nabídce vyberte Skupiny.

2. Vyberte tlačítko Přidat skupinu Microsoft Entra.

   

3. V rozevíracím seznamu vyberte tenanta.

4. Vyhledejte a vyberte skupinu, kterou chcete přidat.

5. Stiskněte tlačítko Vybrat.

Po přidání externí skupiny Microsoft Entra můžete zkontrolovat a nakonfigurovat její vlastnosti:

1. Na kartě Skupiny vyberte název skupiny.
2. Upravit informace o názvu a popisu skupiny

Uživatelé z nakonfigurované instance Microsoft Entra teď můžou:

• Přihlaste se k portálu pro vývojáře.
• Zobrazte a přihlaste se k odběru skupin, ke kterým mají přístup.

Poznámka:

Další informace o rozdílu mezi typy delegovaných oprávnění a oprávněními aplikace najdete v článku o oprávněních a souhlasu v článku o platformě Microsoft Identity Platform .

Synchronizace skupin Microsoft Entra se službou API Management

Skupiny, které nakonfigurujete v Microsoft Entra, se musí synchronizovat se službou API Management, abyste je mohli přidat do své instance. Pokud se skupiny nesynchronizují automaticky, použijte jeden z následujících kroků k ruční synchronizaci informací o skupině:

• Odhlaste se a přihlaste se k MICROSOFT Entra ID. Tato aktivita obvykle aktivuje synchronizaci skupin.
• Ujistěte se, že je přihlašovací tenant Microsoft Entra zadaný stejným způsobem (pomocí jednoho z ID tenanta nebo názvu domény) v nastavení konfigurace ve službě API Management. Přihlašovacího tenanta zadáte ve zprostředkovateli identity Microsoft Entra ID pro portál pro vývojáře a když do služby API Management přidáte skupinu Microsoft Entra.

Portál pro vývojáře: Přidání ověřování účtu Microsoft Entra

Na portálu pro vývojáře můžete povolit přihlášení pomocí ID Microsoft Entra pomocí tlačítka Pro přihlášení: Widget OAuth zahrnutý na přihlašovací stránce výchozího obsahu portálu pro vývojáře.

Uživatel se pak může přihlásit pomocí Microsoft Entra ID následujícím způsobem:

1. Přejděte na portál pro vývojáře. Vyberte Sign in (Přihlásit se).

2. Na přihlašovací stránce vyberte Microsoft Entra ID. Výběrem tohoto tlačítka se otevře přihlašovací stránka Microsoft Entra ID.

   

   Návod

   Pokud je pro přístup nakonfigurovaných více tenantů, zobrazí se na přihlašovací stránce více než jedno tlačítko ID Microsoft Entra. Každé tlačítko je označené názvem tenanta.

3. V přihlašovacím okně pro vašeho tenanta Microsoft Entra odpovězte na výzvy. Po dokončení přihlášení se uživatel přesměruje zpět na portál pro vývojáře.

Nyní je uživatel přihlášen na portálu pro vývojáře a přidán jako nová uživatelská identita v API Managementu v části Uživatelé.

I když se nový účet automaticky vytvoří, když se nový uživatel přihlásí pomocí ID Microsoft Entra, zvažte přidání stejného widgetu na registrační stránku. Registrační formulář: Widget OAuth představuje formulář použitý k registraci pomocí OAuth.

Důležité

Aby se změny ID Microsoft Entra projevily, musíte portál znovu publikovat.

Související obsah

• Přečtěte si další informace o Microsoft Entra ID a OAuth2.0.
• Přečtěte si další informace o knihovně MSAL a migraci na knihovnu MSAL.
• Řešení potíží se síťovým připojením k Microsoft Graphu z virtuální sítě