Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
PLATÍ PRO: Vývojář | Základní | Basic v2 | Standardní | Standard v2 | Premium | Premium v2
Služba API Management má plně přizpůsobitelný, samostatný spravovaný vývojářský portál, který se dá používat externě (nebo interně) k tomu, aby mohli vývojáři zjišťovat rozhraní API publikovaná prostřednictvím služby API Management a pracovat s nimi. Portál pro vývojáře nabízí několik možností, jak usnadnit zabezpečenou registraci a přihlašování uživatelů.
Poznámka:
Portál pro vývojáře ve výchozím nastavení povoluje anonymní přístup. Toto výchozí nastavení znamená, že každý může zobrazit portál a obsah, jako jsou rozhraní API bez přihlášení, i když je funkce, jako je použití testovací konzoly, omezené. Můžete povolit nastavení, které vyžaduje, aby se uživatelé přihlásili k zobrazení portálu pro vývojáře. Na webu Azure Portal v levé nabídce instance služby API Management v části Portál pro vývojáře vyberte . V části Anonymní uživatelé vyberte (povolit) Přesměrovat anonymní uživatele na přihlašovací stránku.
Možnosti ověřování
Externí uživatelé – Pokud chcete externím uživatelům povolit přístup k portálu pro vývojáře, použijte externí zprostředkovatele identity povolené prostřednictvím externího ID Microsoft Entra.
- Chcete například, aby uživatelé měli přístup k portálu pro vývojáře pomocí stávajících účtů sociálních médií.
- Služba poskytuje funkce pro povolení registrace a přihlašování koncových uživatelů.
Služba API Management v současné době podporuje externí zprostředkovatele identity, kteří jsou nakonfigurovaní v tenantovi pracovních sil Microsoft Entra ID, ne v externím tenantovi. Další informace naleznete v tématu Autorizace vývojářských účtů pomocí externího ID Microsoft Entra.
Poznámka:
API Management poskytuje podporu starších verzí Azure Active Directory B2C jako externího poskytovatele identity. Pro nová nasazení portálu pro vývojáře služby API Management ale doporučujeme použít externí ID Microsoft Entra jako externího zprostředkovatele identity místo Azure Active Directory B2C.
Důležité
Od 1. května 2025 už nebude Azure AD B2C k dispozici k nákupu pro nové zákazníky. Další informace najdete v našich nejčastějších dotazech.
Interní uživatelé – Pokud chcete povolit přístup k vývojářskému portálu interním uživatelům, použijte svého firemního tenanta Microsoft Entra ID. Microsoft Entra ID poskytuje bezproblémové prostředí jednotného přihlašování (SSO) pro podnikové uživatele, kteří potřebují přístup k rozhraním API a zjišťovat je prostřednictvím portálu pro vývojáře.
Postup povolení ověřování Microsoft Entra na portálu pro vývojáře najdete v tématu Autorizace vývojářských účtů pomocí ID Microsoft Entra ve službě Azure API Management.
Základní ověřování – použijte integrovaného zprostředkovatele uživatelského jména a hesla portálu pro vývojáře. Tato možnost umožňuje vývojářům zaregistrovat se přímo ve službě API Management a přihlásit se pomocí uživatelských účtů služby API Management. Registrace uživatele prostřednictvím této možnosti je chráněna službou CAPTCHA.
Upozornění
I když k zabezpečení přístupu uživatelů k portálu pro vývojáře můžete použít základní ověřování, doporučujeme nakonfigurovat bezpečnější metodu ověřování, jako je NAPŘÍKLAD MICROSOFT Entra ID.
Testovací konzola portálu pro vývojáře
Kromě poskytování konfigurace pro uživatele vývojářů, kteří se mají zaregistrovat k přístupu a přihlášení, portál pro vývojáře obsahuje testovací konzolu, kde můžou vývojáři odesílat testovací žádosti prostřednictvím služby API Management do back-endových rozhraní API. Toto testovací zařízení také existuje pro přispívání uživatelů služby API Management, kteří službu spravují pomocí webu Azure Portal.
Pokud zabezpečíte rozhraní API vystavené prostřednictvím služby Azure API Management pomocí OAuth 2.0 – to znamená, že volající aplikace (nosná) potřebuje získat a předat platný přístupový token – můžete nakonfigurovat službu API Management tak, aby vygenerovala platný token jménem uživatele testovací konzoly webu Azure Portal nebo portálu pro vývojáře. Další informace najdete v tématu Autorizace testovací konzoly portálu pro vývojáře konfigurací autorizace uživatelů OAuth 2.0.
Pokud chcete testovací konzole povolit získání platného tokenu OAuth 2.0 pro testování rozhraní API:
Přidejte do instance autorizační server uživatele OAuth 2.0. Můžete použít libovolného zprostředkovatele OAuth 2.0, včetně ID Microsoft Entra, externího ID Microsoft Entra nebo zprostředkovatele identity třetí strany.
Nakonfigurujte rozhraní API s nastavením pro tento autorizační server. Na portálu nakonfigurujte autorizaci OAuth 2.0 na stránce Nastavení rozhraní API pro autorizaci>>
Tato konfigurace OAuth 2.0 pro testování rozhraní API je nezávislá na konfiguraci vyžadované pro uživatelský přístup k portálu pro vývojáře. Zprostředkovatel identity a uživatel ale můžou být stejné. Například intranetová aplikace může vyžadovat přístup uživatele k portálu pro vývojáře pomocí jednotného přihlašování s firemní identitou. Stejná podniková identita by mohla získat token prostřednictvím testovací konzoly pro back-endovou službu, která se volá se stejným kontextem uživatele.
Scénáře
Různé možnosti ověřování a autorizace se vztahují na různé scénáře. Následující části se zabývají konfigurací vysoké úrovně pro tři ukázkové scénáře. Potřebujete provést další kroky k úplnému zabezpečení a konfiguraci rozhraní API vystavených prostřednictvím služby API Management. Scénáře se ale záměrně zaměřují na minimální konfigurace doporučené v každém případě, aby poskytovaly požadované ověřování a autorizaci.
Scénář 1 – Intranetové rozhraní API a aplikace
- Přispěvatel služby API Management a vývojář back-endového rozhraní API chtějí publikovat rozhraní API, které je zabezpečené protokolem OAuth 2.0.
- Rozhraní API využívá desktopové aplikace, jejichž uživatelé se přihlašují pomocí jednotného přihlašování prostřednictvím ID Microsoft Entra.
- Vývojáři desktopových aplikací potřebují zjišťovat a testovat rozhraní API prostřednictvím portálu pro vývojáře služby API Management.
Konfigurace klíčů:
| Konfigurace | Odkazy |
|---|---|
| Autorizuje uživatele vývojářského portálu služby API Management pomocí firemních identit a ID Microsoft Entra. | Autorizace vývojářských účtů pomocí Microsoft Entra ID ve službě Azure API Management |
| Nastavte testovací konzolu na portálu pro vývojáře, abyste získali platný token OAuth 2.0 pro vývojáře desktopové aplikace, aby mohli uplatnit back-endové rozhraní API. Stejnou konfiguraci můžete použít pro testovací konzolu na webu Azure Portal, která je přístupná přispěvatelům služby API Management a back-endovým vývojářům. Token lze použít v kombinaci s klíčem předplatného služby API Management. |
Autorizace testovací konzoly portálu pro vývojáře konfigurací autorizace uživatele OAuth 2.0 Předplatná ve službě Azure API Management |
| Ověřte token OAuth 2.0 a deklarace identity, když se rozhraní API volá prostřednictvím služby API Management s přístupovým tokenem. | Zásady ověřování JWT |
V tomto scénáři pokračujte přesunem služby API Management do hraniční sítě a řízením příchozího přenosu dat přes reverzní proxy server. Referenční architekturu najdete v tématu Ochrana rozhraní API pomocí služby Application Gateway a služby API Management.
Scénář 2 – Externí rozhraní API, partnerské aplikace
- Vývojář rozhraní API Management a přispěvatel back-endového rozhraní API chtějí rychle vytvořit testování konceptu pro zveřejnění starší verze rozhraní API prostřednictvím služby Azure API Management. Rozhraní API prostřednictvím služby API Management je přístupné externě (internet).
- Rozhraní API používá ověřování klientských certifikátů a využívá ji nová veřejně přístupná jednostránkové aplikace (SPA), kterou vyvinul partner.
- Spa používá OAuth 2.0 s OpenID Connect (OIDC).
- Vývojáři aplikací přistupují k rozhraní API v testovacím prostředí prostřednictvím portálu pro vývojáře pomocí testovacího back-endového koncového bodu pro urychlení vývoje front-endu.
Konfigurace klíčů:
| Konfigurace | Odkazy |
|---|---|
| Nakonfigurujte přístup front-endového vývojáře k portálu pro vývojáře pomocí výchozího uživatelského jména a ověřování hesla. Vývojáři mohou být také pozváni na portál pro vývojáře. |
Konfigurace uživatelů portálu pro vývojáře pro ověřování pomocí uživatelských jmen a hesel Správa uživatelských účtů ve službě Azure API Management |
| Ověřte token OAuth 2.0 a deklarace identity, když spa volá API Management pomocí přístupového tokenu. V tomto případě je cílovou skupinou služba API Management. | Zásady ověřování JWT |
| Nastavte službu API Management tak, aby používala ověřování klientských certifikátů k back-endu. | Zabezpečení back-endových služeb pomocí ověřování klientských certifikátů ve službě Azure API Management |
Pokud chcete tento scénář dále využít, použijte vývojářský portál s autorizací Microsoft Entra a spolupráci Microsoft Entra B2B , abyste partnerům pro doručování umožnili užší spolupráci. Zvažte delegování přístupu ke službě API Management prostřednictvím RBAC ve vývojovém nebo testovacím prostředí a povolte jednotné přihlašování na portál pro vývojáře pomocí vlastních podnikových přihlašovacích údajů.
Scénář 3 – Externí rozhraní API, SaaS, otevřené pro veřejnost
Přispěvatel služby API Management a vývojář back-endového rozhraní API napíšou několik nových rozhraní API, která můžou používat vývojáři komunity.
Rozhraní API jsou veřejně dostupná, ale plná funkce je chráněná za paywallem a zabezpečená pomocí OAuth 2.0. Po zakoupení licence získá vývojář vlastní přihlašovací údaje klienta a klíč předplatného, který je platný pro produkční použití.
Externí vývojáři komunity objevují rozhraní API pomocí portálu pro vývojáře. Vývojáři se zaregistrují a přihlásí k portálu pro vývojáře pomocí svých účtů sociálních médií.
Uživatelé portálu pro vývojáře s testovacím klíčem předplatného můžou prozkoumat funkce rozhraní API v testovacím kontextu, aniž by museli zakoupit licenci. Testovací konzola portálu pro vývojáře představuje volající aplikaci a vygeneruje výchozí přístupový token pro back-endové rozhraní API.
Upozornění
Při použití toku přihlašovacích údajů klienta s testovací konzolou portálu pro vývojáře je potřeba věnovat zvláštní pozornost. Podívejte se na aspekty zabezpečení.
Konfigurace klíčů:
| Konfigurace | Odkazy |
|---|---|
| Nastavte produkty ve službě Azure API Management tak, aby představovaly kombinace rozhraní API, která zveřejňujete vývojářům komunity. Nastavte předplatná, která vývojářům umožní využívat rozhraní API. |
Kurz: Vytvoření a publikování produktu Předplatná ve službě Azure API Management |
| Nakonfigurujte přístup vývojářů komunity k portálu pro vývojáře pomocí externího ID Microsoft Entra. Externí ID Microsoft Entra je pak možné nakonfigurovat tak, aby fungovalo s jedním nebo více zprostředkovateli identity sociálních médií v podřízené síti. | Autorizace vývojářských účtů pomocí externího ID Microsoft Entra ve službě Azure API Management |
| Nastavte testovací konzolu na portálu pro vývojáře, abyste získali platný token OAuth 2.0 pro back-endové rozhraní API pomocí toku přihlašovacích údajů klienta. |
Autorizace testovací konzoly portálu pro vývojáře konfigurací autorizace uživatele OAuth 2.0 Upravte kroky konfigurace uvedené v tomto článku, abyste místo toku udělení autorizačního kódu použili tok udělení přihlašovacích údajů klienta. |
Pokračujte krokem delegováním registrace uživatele nebo předplatného produktu a rozšiřte proces o vlastní logiku.
Související obsah
- Přečtěte si další informace o ověřování a autorizaci na platformě Microsoft Identity Platform.
- Zjistěte, jak zmírnit bezpečnostní hrozby rozhraní API OWASP pomocí služby API Management.