Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
PLATÍ PRO: Vývojář | Basic v2 | Standardní | Standard v2 | Premium | Premium v2
Externí ID Microsoft Entra je cloudové řešení pro správu identit, které umožňuje externím identitám zabezpečený přístup k vašim aplikacím a prostředkům. Můžete ho použít ke správě přístupu k portálu pro vývojáře služby API Management externími identitami.
Přehled možností zabezpečení přístupu k portálu pro vývojáře najdete v tématu Zabezpečený přístup k portálu pro vývojáře služby API Management.
Služba API Management v současné době podporuje externí zprostředkovatele identit v Microsoft Entra External ID při konfiguraci v tenantovi pracovních sil Microsoft Entra ID. Pokud například povolíte přístup k portálu pro vývojáře uživateli ve vašem tenantovi pracovních sil, jako je třeba organizace Contoso, můžete chtít google nebo Facebook nakonfigurovat jako externího zprostředkovatele identity, aby se tito externí uživatelé mohli také přihlásit pomocí svých účtů. Přečtěte si další informace o konfiguraci pracovních sil a externích tenantů v externím ID Microsoftu.
Návod
Služba API Management teď podporuje přístup k portálu pro vývojáře od uživatelů ve více než jednom tenantovi Microsoft Entra ID prostřednictvím jedné registrace aplikace a konfigurace identity. V současné době je to podporováno na úrovních Developer, Standard a Premium.
Poznámka:
API Management poskytuje podporu starších verzí Azure Active Directory B2C jako externího poskytovatele identity. Pro nová nasazení portálu pro vývojáře služby API Management ale doporučujeme použít externí ID Microsoft Entra jako externího zprostředkovatele identity místo Azure Active Directory B2C.
Důležité
Od 1. května 2025 už nebude Azure AD B2C k dispozici k nákupu pro nové zákazníky. Další informace najdete v našich nejčastějších dotazech.
Požadavky
- Tenant Microsoft Entra ID (tenanta pro zaměstnanecké účty), ve kterém má být povolen externí přístup.
- Oprávnění k vytvoření aplikace a konfiguraci toků uživatelů v tenantovi pracovních sil
- Instance správy API. Pokud ho ještě nemáte, vytvořte instanci služby Azure API Management.
- Pokud jste instanci vytvořili na úrovni v2, povolte portál pro vývojáře. Další informace najdete v tématu Kurz: Přístup a přizpůsobení portálu pro vývojáře.
Přidejte externího poskytovatele identity ke svému klientovi
V tomto scénáři musíte ve vašem pracovním tenantovi povolit zprostředkovatele identity pro externí ID. Konfigurace externího zprostředkovatele identity závisí na konkrétním zprostředkovateli a je mimo rozsah tohoto článku. Možnosti a odkazy na kroky najdete v tématu Zprostředkovatelé identity pro externí ID v tenantech pracovních sil.
Povolení přihlašování uživatelů pomocí Microsoft Entra ID – portál
Kvůli zjednodušení konfigurace může API Management automaticky povolit aplikaci Microsoft Entra a zprostředkovatele identity pro uživatele portálu pro vývojáře. Alternativně můžete ručně povolit aplikaci Microsoft Entra a zprostředkovatele identity.
Automatické povolení aplikace Microsoft Entra a poskytovatele identity
Následujícím postupem automaticky povolíte ID Microsoft Entra na portálu pro vývojáře:
V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Přehled portálu.
Na stránce přehledu portálu přejděte dolů a povolte přihlášení uživatele pomocí Microsoft Entra ID.
Vyberte Povolit Microsoft Entra ID.
Na stránce Povolit Microsoft Entra ID vyberte Povolit Microsoft Entra ID.
Vyberte Zavřít.
Po povolení poskytovatele Microsoft Entra:
- Uživatelé ve vašem tenantovi Microsoft Entra se můžou přihlásit k portálu pro vývojáře pomocí účtu Microsoft Entra.
- Konfiguraci zprostředkovatele identity Microsoft Entra můžete spravovat na stránceIdentities> pro vývojáře na portálu.
- Volitelně můžete aktualizovat registraci aplikace v Microsoft Entra ID tak, aby podporovala více tenantů, jak je popsáno v tématu Konfigurace registrace aplikace pro více tenantů. Název výchozí registrace aplikace vytvořené službou API Management je stejný jako název instance služby API Management.
- Volitelně můžete nakonfigurovat další nastavení přihlašování tak, že vyberete Nastavení identit>. Můžete například chtít přesměrovat anonymní uživatele na přihlašovací stránku.
- Po jakékoli změně konfigurace znovu publikujte portál pro vývojáře.
Povolení aplikace Microsoft Entra a zprostředkovatele identity ručně
Alternativně můžete ručně povolit MICROSOFT Entra ID na portálu pro vývojáře tak, že si aplikaci zaregistrujete sami v Microsoft Entra ID a nakonfigurujete zprostředkovatele identity pro portál pro vývojáře.
V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Identity.
Vyberte + Přidat v horní části a otevřete podokno Přidat zprostředkovatele identity vpravo.
V části Typ vyberte Microsoft Entra ID z rozevírací nabídky. Když vyberete tuto možnost, můžete zadat další potřebné informace.
- V rozevíracím seznamu Klientská knihovna vyberte MSAL.
- Pokud chcete přidat ID klienta a tajný klíč klienta, přečtěte si kroky dále v článku.
Uložte adresu URL pro přesměrování pro pozdější použití.
V prohlížeči otevřete portál Azure na nové kartě.
Přejděte k registracím aplikací a zaregistrujte aplikaci v Microsoft Entra ID.
Vyberte Nová registrace. Na stránce Zaregistrovat aplikaci nastavte hodnoty následujícím způsobem:
- Nastavit název na smysluplný název, například vývojář-portál
- Nastavte podporované typy účtů a proveďte výběr vhodný pro vaše scénáře. Pokud chcete uživatelům ve více tenantech Microsoft Entra ID povolit přístup k portálu pro vývojáře, vyberte Účty v libovolném adresáři organizace (Multitenant).
- V přesměrování URI vyberte jednostránkovou aplikaci (SPA) a vložte adresu URL pro přesměrování, kterou jste uložili v předchozím kroku.
- Vyberte Zaregistrovat.
Po registraci aplikace zkopírujte ID aplikace (klienta) ze stránky Přehled .
Přepněte na kartu prohlížeče s vaší instancí služby API Management.
V okně Přidat zprostředkovatele identity vložte hodnotu ID aplikace (klienta) do pole ID klienta.
Přepněte na kartu prohlížeče s registrací aplikace.
Vyberte příslušnou registraci aplikace.
V části Správa boční nabídky vyberte Certifikáty a tajné kódy.
Na stránce Certifikáty a tajné kódy vyberte v části Tajné kódy klienta tlačítko Nový tajný kód klienta.
- Zadejte popis.
- Vyberte libovolnou možnost vypršení platnosti.
- Zvolte položku Přidat.
Před opuštěním stránky zkopírujte hodnotu tajného klíče klienta. Budete ho potřebovat v pozdějším kroku.
V části Spravovat v boční nabídce vyberte Konfiguraci tokenu>+ Přidat volitelnou deklaraci identity.
- V typu tokenu vyberte ID.
- Vyberte (zaškrtněte) následující deklarace identity: e-mail, family_name, given_name.
- Vyberte Přidat. Pokud se zobrazí výzva, vyberte Zapnout e-mail Microsoft Graphu, oprávnění profilu.
Přepněte na kartu prohlížeče s vaší instancí služby API Management.
Vložte tajemství klienta do pole Tajemství klienta v podokně Přidat zprostředkovatele identity.
Důležité
Před vypršením platnosti klíče aktualizujte tajný klíč klienta.
Ve Signin tenantovi zadejte název tenanta nebo ID pro přihlášení k Microsoft Entra. Pokud nezadáte hodnotu, použije se společný koncový bod.
V povolených tenantech přidejte jeden nebo více konkrétních názvů tenantů Microsoft Entra nebo ID pro přihlášení k Microsoft Entra.
Poznámka:
Pokud zadáte další tenanty, musí být registrace aplikace nakonfigurovaná tak, aby podporovala více tenantů. Další informace najdete v tématu Konfigurace registrace aplikace pro více tenantů.
Po zadání požadované konfigurace vyberte Přidat.
Znovu publikujte portál pro vývojáře, aby se projevila konfigurace Microsoft Entra. V levém menu v části Portál pro vývojáře vyberte Přehled portálu>Publikovat.
Po povolení poskytovatele Microsoft Entra:
- Uživatelé v zadaných tenantech Microsoft Entra se mohou přihlásit k portálu pro vývojáře pomocí účtu Microsoft Entra.
- Konfiguraci Microsoft Entra můžete spravovat na stránce Identities portálu>pro vývojáře na portálu.
- Volitelně můžete nakonfigurovat další nastavení přihlašování tak, že vyberete Nastavení identit>. Můžete například chtít přesměrovat anonymní uživatele na přihlašovací stránku.
- Po jakékoli změně konfigurace znovu publikujte portál pro vývojáře.
Povolení samoobslužné registrace pro vašeho tenanta
Pokud chcete externím uživatelům povolit registraci pro přístup k portálu pro vývojáře, proveďte následující kroky:
- Povolte samoobslužnou registraci pro externího tenanta.
- Přidejte aplikaci do toku uživatele samoobslužné registrace.
Další informace a podrobné kroky najdete v tématu Přidání toků uživatelů samoobslužné registrace pro spolupráci B2B.
Přihlášení k portálu pro vývojáře pomocí externího ID Microsoft Entra
Na portálu pro vývojáře můžete povolit přihlášení pomocí externího ID Microsoft Entra pomocí tlačítka Pro přihlášení: widget OAuth . Widget je již součástí přihlašovací stránky výchozího obsahu portálu pro vývojáře.
Uživatel se pak může přihlásit pomocí externího ID Microsoft Entra následujícím způsobem:
Přejděte na portál pro vývojáře. Vyberte Sign in (Přihlásit se).
Na přihlašovací stránce vyberte Microsoft Entra ID.
Návod
Pokud pro přístup nakonfigurujete více tenantů Microsoft Entra, zobrazí se na přihlašovací stránce více než jedno tlačítko MICROSOFT Entra ID. Každé tlačítko je označené názvem tenanta.
V okně pro přihlášení pro vašeho tenanta Microsoft Entra vyberte možnosti přihlášení. Vyberte externího zprostředkovatele identity nakonfigurovaného v tenantovi Microsoft Entra pro přihlášení. Pokud jste například nakonfigurovali Google jako zprostředkovatele identity, vyberte Přihlásit se pomocí Googlu.
Pokud chcete pokračovat v přihlašování, odpovězte na výzvy. Po dokončení přihlášení se uživatel přesměruje zpět na portál pro vývojáře.
Uživatel se teď přihlásí k portálu pro vývojáře, přidá se jako nová identita uživatele služby API Management ve službě Users a přidá se jako nový externí uživatel tenanta v Microsoft Entra ID.