Autorizace vývojářských účtů pomocí Microsoft Entra ID ve službě Azure API Management

V tomto článku se naučíte:

• Povolte přístup k portálu pro vývojáře pro uživatele z ID Microsoft Entra.
• Umožňuje spravovat skupiny uživatelů Microsoft Entra přidáním externích skupin, které obsahují uživatele.

Přehled možností zabezpečení portálu pro vývojáře najdete v tématu Zabezpečený přístup k API Management portálu pro vývojáře.

Důležité

• Tento článek byl aktualizován postupem konfigurace aplikace Microsoft Entra pomocí knihovny Microsoft Authentication Library (MSAL).
• Pokud jste dříve nakonfigurovali aplikaci Microsoft Entra pro přihlašování uživatelů pomocí knihovny Azure AD Authentication Library (ADAL), doporučujeme migrovat na knihovnu MSAL.

Požadavky

• Dokončete rychlý start k vytvoření instance služby Azure API Management.

• Importujte a publikujte rozhraní API v instanci služby Azure API Management.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

PLATÍ PRO: Vývojář | Standardní | Premium

Přejít k instanci služby API Management

1. Na webu Azure Portal vyhledejte a vyberte služby API Management.

   

2. Na stránce služby API Management vyberte instanci služby API Management.

   

Povolení přihlašování uživatelů pomocí Microsoft Entra ID – portál

Kvůli zjednodušení konfigurace může API Management automaticky povolit aplikaci Microsoft Entra a zprostředkovatele identity pro uživatele portálu pro vývojáře. Alternativně můžete ručně povolit aplikaci Microsoft Entra a zprostředkovatele identity.

Automatické povolení aplikace Microsoft Entra a zprostředkovatele identity

1. V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Přehled portálu.

2. Na stránce přehledu portálu přejděte dolů a povolte přihlášení uživatele pomocí Microsoft Entra ID.

3. Vyberte Povolit ID Microsoft Entra.

4. Na stránce Povolit ID Microsoft Entra vyberte Povolit ID Microsoft Entra.

5. Vyberte Zavřít.

   

Po povolení poskytovatele Microsoft Entra:

• Uživatelé v zadané instanci Microsoft Entra se mohou přihlásit k portálu pro vývojáře pomocí účtu Microsoft Entra.
• Konfiguraci Microsoft Entra můžete spravovat na stránce Identities portálu>pro vývojáře na portálu.
• Volitelně můžete nakonfigurovat další nastavení přihlašování tak, že vyberete Identity> Nastavení. Můžete například chtít přesměrovat anonymní uživatele na přihlašovací stránku.
• Po jakékoli změně konfigurace znovu publikujte portál pro vývojáře.

Ruční povolení aplikace Microsoft Entra a zprostředkovatele identity

1. V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Identity.

2. Výběrem +Přidat v horní části otevřete podokno Přidat zprostředkovatele identity napravo.

3. V části Typ vyberte z rozevírací nabídky Microsoft Entra ID . Po výběru budete moct zadat další potřebné informace.

   • V rozevíracím seznamu Klientská knihovna vyberte MSAL.
   • Pokud chcete přidat ID klienta a tajný klíč klienta, přečtěte si kroky dále v článku.

4. Uložte adresu URL pro přesměrování pro pozdější použití.

   

   Poznámka:

   Existují dvě adresy URL pro přesměrování:
   

   • Adresa URL přesměruje na nejnovější portál pro vývojáře služby API Management.
   • Adresa URL přesměrování (zastaralý portál) odkazuje na zastaralý vývojářský portál služby API Management.

   Doporučujeme použít nejnovější adresu URL pro přesměrování portálu pro vývojáře.

5. V prohlížeči otevřete web Azure Portal na nové kartě.

6. Přejděte na Registrace aplikací a zaregistrujte aplikaci ve službě Active Directory.

7. Vyberte Nová registrace. Na stránce Zaregistrovat aplikaci nastavte hodnoty následujícím způsobem:

   • Nastavit název na smysluplný název, například vývojář-portál
   • Nastavte podporované typy účtů na Účty v libovolném adresáři organizace.
   • V identifikátoru URI přesměrování vyberte jednostránkové aplikace (SPA) a vložte adresu URL pro přesměrování, kterou jste uložili v předchozím kroku.
   • Vyberte Zaregistrovat.

8. Po registraci aplikace zkopírujte ID aplikace (klienta) ze stránky Přehled .

9. Přepněte na kartu prohlížeče s vaší instancí služby API Management.

10. V okně Přidat zprostředkovatele identity vložte hodnotu ID aplikace (klienta) do pole ID klienta.

11. Přepněte na kartu prohlížeče s registrací aplikace.

12. Vyberte příslušnou registraci aplikace.

13. V části Správa boční nabídky vyberte Certifikáty a tajné kódy.

14. Na stránce Certifikáty a tajné kódy vyberte v části Tajné kódy klienta tlačítko Nový tajný kód klienta.

    • Zadejte popis.
    • Vyberte libovolnou možnost vypršení platnosti.
    • Zvolte položku Přidat.

15. Před opuštěním stránky zkopírujte hodnotu tajného klíče klienta. Budete ho potřebovat později.

16. V části Spravovat v boční nabídce vyberte Ověřování.

    1. V části Implicitní udělení a hybridní toky zaškrtněte políčko Tokeny ID.
    2. Zvolte Uložit.

17. V části Spravovat v boční nabídce vyberte Konfigurace> tokenu + Přidat volitelnou deklaraci identity.

    1. V typu tokenu vyberte ID.
    2. Vyberte (zaškrtněte) následující deklarace identity: e-mail, family_name, given_name.
    3. Vyberte Přidat. Pokud se zobrazí výzva, vyberte Zapnout e-mail Microsoft Graphu, oprávnění profilu.

18. Přepněte na kartu prohlížeče s vaší instancí služby API Management.

19. Vložte tajný klíč do pole Tajný kód klienta v podokně Přidat zprostředkovatele identity.

    Důležité

    Před vypršením platnosti klíče aktualizujte tajný klíč klienta.

20. V poli Přidat zprostředkovatele identity v poli Povolené tenanty zadejte domény instance Microsoft Entra, ke kterým chcete udělit přístup k rozhraním API instance služby API Management.

    • Více domén můžete oddělit novými spojnicemi, mezerami nebo čárkami.

    Poznámka:

    V části Povolené tenanty můžete zadat více domén. Aby se uživatelé mohli přihlásit z jiné domény než původní doména registrace aplikace, musí globální správa udělit aplikaci přístup k datům adresáře. Pokud chcete udělit oprávnění, měl by globální správce:

    1. Přejděte na https://<URL of your developer portal>/aadadminconsent (například https://contoso.portal.azure-api.net/aadadminconsent).
    2. Zadejte název domény tenanta Microsoft Entra, ke kterému chce udělit přístup.
    3. Vyberte položku Odeslat.

21. Po zadání požadované konfigurace vyberte Přidat.

22. Znovu publikujte portál pro vývojáře, aby se projevila konfigurace Microsoft Entra. V nabídce vlevo v části Portál pro vývojáře vyberte Možnost Publikovat přehled>portálu.

Po povolení poskytovatele Microsoft Entra:

• Uživatelé v zadané instanci Microsoft Entra se mohou přihlásit k portálu pro vývojáře pomocí účtu Microsoft Entra.
• Konfiguraci Microsoft Entra můžete spravovat na stránce Identities portálu>pro vývojáře na portálu.
• Volitelně můžete nakonfigurovat další nastavení přihlašování tak, že vyberete Identity> Nastavení. Můžete například chtít přesměrovat anonymní uživatele na přihlašovací stránku.
• Po jakékoli změně konfigurace znovu publikujte portál pro vývojáře.

Migrace na MSAL

Pokud jste dříve nakonfigurovali aplikaci Microsoft Entra pro přihlašování uživatelů pomocí knihovny ADAL, můžete pomocí portálu migrovat aplikaci do KNIHOVNY MSAL a aktualizovat zprostředkovatele identity ve službě API Management.

Aktualizace aplikace Microsoft Entra pro zajištění kompatibility MSAL

Postup najdete v tématu Přepnutí identifikátorů URI přesměrování na typ jednostrákové aplikace.

Aktualizace konfigurace zprostředkovatele identity

1. V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Identity.
2. V seznamu vyberte ID Microsoft Entra.
3. V rozevíracím seznamu Klientská knihovna vyberte MSAL.
4. Vyberte Aktualizovat.
5. Znovu publikujte portál pro vývojáře.

Přidání externí skupiny Microsoft Entra

Teď, když jste povolili přístup pro uživatele v tenantovi Microsoft Entra, můžete:

• Přidejte do služby API Management skupiny Microsoft Entra.
• Řízení viditelnosti produktů pomocí skupin Microsoft Entra

1. Přejděte na stránku Registrace aplikace pro aplikaci, kterou jste zaregistrovali v předchozí části.
2. Vyberte oprávnění rozhraní API.
3. Přidejte následující minimální oprávnění aplikace pro rozhraní Microsoft Graph API:
   • User.Read.All oprávnění aplikace – aby služba API Management mohl číst členství uživatele ve skupině a provádět synchronizaci skupin v době, kdy se uživatel přihlásí.
   • Group.Read.All oprávnění aplikace – aby služba API Management četla skupiny Microsoft Entra, když se správce pokusí přidat skupinu do služby API Management pomocí okna Skupiny na portálu.
4. Vyberte Udělit souhlas správce pro uživatele {tenantname} , abyste udělili přístup všem uživatelům v tomto adresáři.

Teď můžete přidat externí skupiny Microsoft Entra z karty Skupiny vaší instance služby API Management.

1. V části Portál pro vývojáře v boční nabídce vyberte Skupiny.

2. Vyberte tlačítko Přidat skupinu Microsoft Entra.

   

3. V rozevíracím seznamu vyberte tenanta.

4. Vyhledejte a vyberte skupinu, kterou chcete přidat.

5. Stiskněte tlačítko Vybrat.

Po přidání externí skupiny Microsoft Entra můžete zkontrolovat a nakonfigurovat její vlastnosti:

1. Na kartě Skupiny vyberte název skupiny.
2. Upravit informace o názvu a popisu skupiny

Uživatelé z nakonfigurované instance Microsoft Entra teď můžou:

• Přihlaste se k portálu pro vývojáře.
• Zobrazte a přihlaste se k odběru všech skupin, pro které mají viditelnost.

Poznámka:

Další informace o rozdílu mezi typy delegovaných oprávnění a oprávněními aplikace najdete v článku o oprávněních a souhlasu v článku o platformě Microsoft Identity Platform .

Synchronizace skupin Microsoft Entra se službou API Management

Skupiny nakonfigurované v Microsoft Entra se musí synchronizovat se službou API Management, abyste je mohli přidat do své instance. Pokud se skupiny nesynchronizují automaticky, proveďte jednu z následujících věcí, abyste informace o skupině synchronizovali ručně:

• Odhlaste se a přihlaste se k MICROSOFT Entra ID. Tato aktivita obvykle aktivuje synchronizaci skupin.
• Ujistěte se, že je přihlašovací tenant Microsoft Entra zadaný stejným způsobem (pomocí jednoho z ID tenanta nebo názvu domény) v nastavení konfigurace ve službě API Management. Přihlašovacího tenanta zadáte ve zprostředkovateli identity Microsoft Entra ID pro portál pro vývojáře a když do služby API Management přidáte skupinu Microsoft Entra.

Portál pro vývojáře: Přidání ověřování účtu Microsoft Entra

Na portálu pro vývojáře se můžete přihlásit pomocí ID Microsoft Entra pomocí tlačítka Pro přihlášení: Widget OAuth zahrnutý na přihlašovací stránce výchozího obsahu portálu pro vývojáře.

I když se nový účet automaticky vytvoří, když se nový uživatel přihlásí pomocí Microsoft Entra ID, zvažte přidání stejného widgetu na registrační stránku. Registrační formulář: Widget OAuth představuje formulář použitý k registraci pomocí OAuth.

Důležité

Aby se změny ID Microsoft Entra projevily, musíte portál znovu publikovat.

Související obsah

• Přečtěte si další informace o Microsoft Entra ID a OAuth2.0.
• Přečtěte si další informace o knihovně MSAL a migraci na knihovnu MSAL.
• Řešení potíží se síťovým připojením k Microsoft Graphu z virtuální sítě