Autorizace přístupu k rozhraním API v Centru rozhraní API

Můžete nakonfigurovat nastavení pro autorizaci přístupu k rozhraním API v centru rozhraní API. Tato nastavení:

• Povolení ověřování rozhraní API pomocí klíčů rozhraní API nebo autorizace OAuth 2.0
• Přidružení konkrétních metod ověřování ke konkrétním verzím rozhraní API v inventáři
• Správa ověřování ve verzích rozhraní API určenými uživateli nebo skupinami prostřednictvím zásad přístupu
• Povolení autorizovaných uživatelů k testování rozhraní API přímo na portálu API Center

Poznámka:

Tato funkce je aktuálně dostupná jako ukázková verze.

Požadavky

• Centrum rozhraní API ve vašem předplatném Azure. Pokud jste ho ještě nevytvořili, přečtěte si článek Rychlý start: Vytvoření centra rozhraní API.

• Zaregistrujte alespoň jedno rozhraní API v centru rozhraní API. Další informace najdete v příručce: Registrace rozhraní API v inventáři.

• Nakonfigurujte prostředí a nasazení pro rozhraní API. Další informace najdete v tématu Návod: Přidání prostředí a nasazení pro rozhraní API.

• Nastavte portál API Center. Další informace najdete v tématu Nastavení portálu API Center.

• Trezor klíčů Azure pro ukládání klíčů rozhraní API nebo tajných kódů klienta OAuth 2.0. Postup vytvoření trezoru klíčů najdete v tématu Vytvoření trezoru klíčů. Trezor klíčů by měl používat model oprávnění řízení přístupu na základě role (RBAC) Azure.

• (Pro autorizaci OAuth 2.0 pomocí Microsoft Entra ID) Oprávnění k vytvoření registrace aplikace v tenantovi Microsoft Entra přidruženém k vašemu předplatnému Azure

Možnost 1: Konfigurace nastavení pro ověřování pomocí klíče rozhraní API

Pro rozhraní API, které podporuje ověřování pomocí klíče rozhraní API, nakonfigurujte nastavení v Centru rozhraní API podle těchto kroků.

1. Uložení klíče rozhraní API ve službě Azure Key Vault

Pokud chcete klíč rozhraní API spravovat bezpečně, uložte ho ve službě Azure Key Vault a získejte přístup k trezoru klíčů pomocí spravované identity centra api.

Pokud chcete klíč rozhraní API uložit jako tajný klíč do trezoru klíčů, přečtěte si téma Nastavení a načtení tajného klíče ve službě Key Vault.

Povolte spravovanou identitu ve vašem centru API

V tomto scénáři centrum rozhraní API používá spravovanou identitu pro přístup k trezoru klíčů. V závislosti na vašich potřebách povolte spravované identity přiřazené systémem nebo jednu nebo více spravovaných identit přiřazených uživatelem.

Následující příklad ukazuje, jak povolit spravovanou identitu přiřazenou systémem pomocí webu Azure Portal. Na vysoké úrovni jsou kroky konfigurace podobné spravované identitě přiřazené uživatelem.

1. Na portálu přejděte do centra rozhraní API.
2. V nabídce vlevo v části Zabezpečení vyberte Spravované identity.
3. Vyberte Přiřazený systém a nastavte stav na Zapnuto.
4. Vyberte Uložit.

Přiřazení role uživatele tajných kódů služby Key Vault ke spravované identitě

Přiřaďte spravovanou identitu centra rozhraní API roli uživatele tajných kódů služby Key Vault ve vašem trezoru klíčů. Následující kroky používají Azure Portal.

1. Na portálu přejděte do svého trezoru klíčů.
2. V nabídce vlevo vyberte Řízení přístupu (IAM).
3. Vyberte + Přidat přiřazení role.
4. Na stránce Přidat přiřazení role nastavte hodnoty následujícím způsobem:
   1. Na kartě Role vyberte Uživatel tajných kódů v Key Vault.
   2. Na kartě Členové v části Přiřadit přístup vyberte Spravovaná identita>+ Vybrat členy.
   3. Na stránce Vybrat spravované identity vyberte spravovanou identitu přiřazenou systémem centra rozhraní API, kterou jste přidali v předchozí části. Klepněte na tlačítko Vybrat.
   4. Dvakrát vyberte Zkontrolovat a přiřadit.

2. Přidání konfigurace klíče rozhraní API v centru rozhraní API

1. Na portálu přejděte do centra rozhraní API.

2. V nabídce vlevo v části Zásady správného řízení vyberte Autorizace (Preview)>+ Přidat konfiguraci.

3. Na stránce Přidat konfiguraci nastavte hodnoty následujícím způsobem:

   Nastavení	Popis
   Titul	Zadejte název autorizace.
   Popis	Volitelně můžete zadat popis autorizace.
   Schéma zabezpečení	Vyberte klíč rozhraní API.
   Umístění klíče rozhraní API	Vyberte způsob, jakým se klíč prezentuje v požadavcích rozhraní API. Dostupné hodnoty jsou hlavička (hlavička požadavku) a dotaz (parametr dotazu).
   Název parametru klíče rozhraní API	Zadejte název hlavičky HTTP nebo parametru dotazu, který obsahuje klíč rozhraní API. Příklad: x-api-key
   Reference k tajným klíčům rozhraní API v Key Vault	Klikněte na Vybrat a vyberte předplatné, trezor klíčů a tajný klíč, které jste uložili. Příklad: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>

4. Vyberte Vytvořit.

Možnost 2: Konfigurace nastavení pro autorizaci OAuth 2.0

V případě rozhraní API, které podporuje autorizaci OAuth 2.0, nakonfigurujte nastavení ověřování v Centru rozhraní API podle těchto kroků. Můžete nakonfigurovat nastavení pro jeden nebo oba následující toky autorizace OAuth 2.0:

• Tok autorizačního kódu s kódem PKCE (proof key for Code Exchange) – Tento tok se doporučuje pro ověřování uživatelů v prohlížeči, například na portálu API Center.
• Tok přihlašovacích údajů klienta – Tento tok se doporučuje pro aplikace, které pro přístup k datům nevyžadují oprávnění konkrétního uživatele.

1. Vytvoření aplikace OAuth 2.0

V případě autorizace OAuth 2.0 vytvořte registraci aplikace ve zprostředkovateli identity, jako je tenant Microsoft Entra přidružený k vašemu předplatnému Azure. Přesný postup vytvoření závisí na používaném zprostředkovateli identity.

Následující příklad ukazuje, jak vytvořit registraci aplikace v Microsoft Entra ID.

1. Přihlaste se k webu Azure Portal pomocí účtu s dostatečnými oprávněními v tenantovi.
2. Přejděte na Microsoft Entra ID>+ Nová registrace.
3. Na stránce Registrace aplikace zadejte nastavení registrace aplikace:
   1. Do pole Název zadejte smysluplný název aplikace.
   2. V části Podporované typy účtů vyberte možnost, která vyhovuje vašemu scénáři, například Účty v tomto organizačním adresáři (jenom jeden tenant).
   3. (Pro autorizační tok) V přesměrovací URI vyberte jednostránkovou aplikaci (SPA) a nastavte URI. Zadejte identifikátor URI nasazení portálu API Center v následujícím formátu: https://<service-name>.portal.<location>.azure-api-center.ms. Nahraďte <service name><location> ho názvem centra rozhraní API a umístěním, kam je nasazený, příklad: https://myapicenter.portal.eastus.azure-api-center.ms
   4. Vyberte Zaregistrovat.
4. V nabídce vlevo v části Spravovat vyberte Certifikáty a tajné kódy a pak vyberte + Nový tajný klíč klienta.
   1. Zadejte popis.
   2. Vyberte možnost Vypršení platnosti.
   3. Vyberte Přidat.
   4. Před opuštěním stránky zkopírujte hodnotu tajného klíče klienta. Budete ho potřebovat v následující části.
5. Volitelně můžete do registrace aplikace přidat obory rozhraní API. Další informace najdete v tématu Konfigurace aplikace pro zveřejnění webového rozhraní API.

Když ve svém centru rozhraní API nakonfigurujete autorizaci OAuth 2.0, budete potřebovat následující hodnoty z registrace aplikace:

• ID aplikace (klienta) ze stránky Přehled registrace aplikace a tajný klíč klienta, který jste zkopírovali dříve.
• Následující adresy URL koncových bodů na stránce Přehled>koncových bodů registrace aplikace:
  • Koncový bod autorizace OAuth2.0 (v2) – koncový bod autorizace pro ID Microsoft Entra
  • Koncový bod tokenu OAuth 2.0 (v2) – koncový bod tokenu a koncový bod aktualizace tokenu pro ID Microsoft Entra
• Všechny obory rozhraní API nakonfigurované v registraci aplikace.

2. Uložení tajného klíče klienta ve službě Azure Key Vault

Pokud chcete tajný klíč bezpečně spravovat, uložte ho ve službě Azure Key Vault a získejte přístup k trezoru klíčů pomocí spravované identity centra api.

Pokud chcete klíč rozhraní API uložit jako tajný klíč do trezoru klíčů, přečtěte si téma Nastavení a načtení tajného klíče ve službě Key Vault.

Povolte spravovanou identitu ve vašem centru API

V tomto scénáři centrum rozhraní API používá spravovanou identitu pro přístup k trezoru klíčů. V závislosti na vašich potřebách povolte spravované identity přiřazené systémem nebo jednu nebo více spravovaných identit přiřazených uživatelem.

Následující příklad ukazuje, jak povolit spravovanou identitu přiřazenou systémem pomocí webu Azure Portal. Na vysoké úrovni jsou kroky konfigurace podobné spravované identitě přiřazené uživatelem.

1. Na portálu přejděte do centra rozhraní API.
2. V nabídce vlevo v části Zabezpečení vyberte Spravované identity.
3. Vyberte Přiřazený systém a nastavte stav na Zapnuto.
4. Vyberte Uložit.

Přiřazení role uživatele tajných kódů služby Key Vault ke spravované identitě

Přiřaďte spravovanou identitu centra rozhraní API roli uživatele tajných kódů služby Key Vault ve vašem trezoru klíčů. Následující kroky používají Azure Portal.

1. Na portálu přejděte do svého trezoru klíčů.
2. V nabídce vlevo vyberte Řízení přístupu (IAM).
3. Vyberte + Přidat přiřazení role.
4. Na stránce Přidat přiřazení role nastavte hodnoty následujícím způsobem:
   1. Na kartě Role vyberte Uživatel tajných kódů v Key Vault.
   2. Na kartě Členové v části Přiřadit přístup vyberte Spravovaná identita>+ Vybrat členy.
   3. Na stránce Vybrat spravované identity vyberte spravovanou identitu přiřazenou systémem centra rozhraní API, kterou jste přidali v předchozí části. Klepněte na tlačítko Vybrat.
   4. Dvakrát vyberte Zkontrolovat a přiřadit.

3. Přidání autorizace OAuth 2.0 do centra rozhraní API

1. Na portálu přejděte do centra rozhraní API.

2. V nabídce vlevo v části Zásady správného řízení vyberte Autorizace (Preview)>+ Přidat konfiguraci.

3. Na stránce Přidat konfiguraci nastavte hodnoty následujícím způsobem:

   

   Poznámka:

   Nakonfigurujte nastavení na základě registrace aplikace, kterou jste dříve vytvořili u svého poskytovatele identit. Pokud používáte ID Microsoft Entra, na stránce Přehled registrace aplikace vyhledejte ID klienta a na stránce Přehled>koncových bodů vyhledejte koncové body adresy URL.

   Nastavení	Popis
   Titul	Zadejte název autorizace.
   Popis	Volitelně můžete zadat popis autorizace.
   Schéma zabezpečení	Vyberte OAuth2.
   ID klienta	Zadejte ID klienta (GUID) aplikace, kterou jste vytvořili ve zprostředkovateli identity.
   Tajný klíč klienta	Klikněte na Vybrat a vyberte předplatné, trezor klíčů a tajný klíč klienta, který jste uložili. Příklad: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>
   Adresa URL autorizace	Zadejte koncový bod autorizace OAuth 2.0 pro zprostředkovatele identity. Příklad pro Microsoft Entra ID: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize
   Adresa URL tokenu	Zadejte koncový bod tokenu OAuth 2.0 pro zprostředkovatele identity. Příklad pro Microsoft Entra ID: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   Aktualizovat adresu URL	Zadejte koncový bod aktualizace tokenu OAuth 2.0 pro zprostředkovatele identity. U většiny poskytovatelů je stejná jako adresa URL tokenu. Příklad pro Microsoft Entra ID: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   Tok OAuth2	Vyberte jeden nebo oba toky OAuth 2.0, které chcete použít. Dostupné hodnoty jsou autorizační kód (PKCE) a přihlašovací údaje klienta.
   Oblasti	Zadejte jeden nebo více oborů rozhraní API nakonfigurovaných pro vaše rozhraní API oddělené mezerami. Pokud nejsou nakonfigurovány žádné obory, zadejte .default.

4. Výběrem možnosti Vytvořit uložte konfiguraci.

Přidání konfigurace ověřování do verze rozhraní API

Po konfiguraci nastavení pro klíč rozhraní API nebo tok OAuth 2.0 přidejte klíč rozhraní API nebo konfiguraci OAuth 2.0 do verze rozhraní API ve vašem centru rozhraní API.

1. Na portálu přejděte do centra rozhraní API.
2. V nabídce vlevo v části Prostředky vyberte rozhraní API.
3. Vyberte rozhraní API, ke kterému chcete přidružit konfiguraci autorizace.
4. V nabídce vlevo v části Podrobnosti vyberte Verze.
5. Vyberte verzi rozhraní API, do které chcete přidat konfiguraci ověřování.
6. V nabídce vlevo v části Podrobnosti vyberte Spravovat přístup (Preview)>+ Přidat ověřování.
7. Na stránce Přidat ověřování vyberte dostupnou konfiguraci ověřování , kterou chcete přidružit.
8. Vyberte Vytvořit.

Poznámka:

Do verze rozhraní API můžete přidat více konfigurací ověřování. Můžete například přidat klíč rozhraní API i konfiguraci OAuth 2.0 do stejné verze rozhraní API, pokud je rozhraní API podporované. Podobně můžete stejné konfigurace přidat do více verzí rozhraní API.

Správa přístupu konkrétními uživateli nebo skupinami

Můžete spravovat přístup konkrétních uživatelů nebo skupin ve vaší organizaci ke konfiguraci ověřování verze rozhraní API. Provedete to tak, že nakonfigurujete zásady přístupu, které přiřazují uživatele nebo skupiny role Čtenář přístupu k přihlašovacím údajům služby API Center s vymezeným oborem na konkrétní konfigurace ověřování ve verzi rozhraní API. Toto je užitečné, například pokud chcete povolit jen konkrétním uživatelům, aby testovali rozhraní API na portálu API Center pomocí klíče rozhraní API nebo toku OAuth 2.0.

1. Na portálu přejděte do centra rozhraní API.

2. Přejděte na verzi rozhraní API, do které jste přidali konfiguraci ověřování (viz předchozí část).

3. V nabídce vlevo v části Podrobnosti vyberte Spravovat přístup (Preview).

4. Vyberte rozevírací seznam Upravit zásady přístupu na konci řádku pro konfiguraci ověřování, jejíž přístup chcete spravovat.

5. Na stránce Spravovat přístup vyberte + Přidat > uživatele nebo + Přidat > skupiny.

6. Vyhledejte a vyberte uživatele (nebo skupiny), které chcete přidat. Můžete vybrat více položek.

7. Klepněte na tlačítko Vybrat.

Návod

Uživatele nebo skupiny můžete také odebrat ze zásad přístupu. Na stránce Spravovat přístup vyberte v místní nabídce (...) pro uživatele nebo skupinu možnost Odstranit .

Testování rozhraní API na portálu API Center

Pomocí portálu API Center můžete otestovat rozhraní API, které jste nakonfigurovali pro ověřování a přístup uživatelů.

Návod

Kromě toho, že konkrétním uživatelům povolíte testování konkrétních rozhraní API na portálu API Center, můžete nakonfigurovat nastavení viditelnosti pro rozhraní API. Nastavení viditelnosti na portálu řídí rozhraní API, která se zobrazí pro všechny přihlášené uživatele.

1. Na portálu přejděte do centra rozhraní API.

2. V nabídce vlevo v části Portál centra rozhraní API vyberte nastavení portálu.

3. Vyberte Zobrazit portál Centra rozhraní API.

4. Na portálu API Center vyberte rozhraní API, které chcete otestovat.

5. Vyberte verzi rozhraní API s nakonfigurovanou metodou ověřování.

6. V části Možnosti vyberte Zobrazit dokumentaci.

7. Vyberte operaci v rozhraní API a vyberte Vyzkoušet toto rozhraní API.

8. V okně, které se otevře, zkontrolujte nastavení ověřování. Pokud máte přístup k rozhraní API, vyberte Odeslat a vyzkoušejte rozhraní API.

9. Pokud je operace úspěšná, zobrazí se kód odpovědi 200 OK a text odpovědi. Pokud operace selže, zobrazí se chybová zpráva.

Související obsah

• Nastavení portálu API Center
• Povolení zobrazení portálu Azure API Center v editoru Visual Studio Code
• Ověřování a autorizace pro přístup k rozhraním API v Azure API Management