Autorizace vývojářských účtů pomocí externího ID Microsoft Entra

PLATÍ PRO: Vývojář | Basic v2 | Standardní | Standard v2 | Premium | Premium v2

Externí ID Microsoft Entra je cloudové řešení pro správu identit, které umožňuje externím identitám zabezpečený přístup k vašim aplikacím a prostředkům. Můžete ho použít ke správě přístupu k portálu pro vývojáře služby API Management externími identitami.

V tomto článku se dozvíte o konfiguraci zprostředkovatele identity Microsoft Entra ID pro následující scénáře podporované portálem pro vývojáře služby API Management:

• Integrace s externím ID Microsoft Entra ve vašem tenantovi zaměstnanců Pokud je váš tenant pracovních sil například pro organizaci Contoso, můžete chtít google nebo Facebook nakonfigurovat jako externího zprostředkovatele identity, aby se tito externí uživatelé mohli přihlásit také pomocí svých účtů.
• Integrace s externím identifikátorem Microsoft Entra v rámci samostatného externího tenanta. Tato konfigurace umožňuje, aby se externí uživatelé z tohoto tenanta přihlásili jenom k portálu pro vývojáře.

Poznámka:

V současné době nemůžete pro portál pro vývojáře nakonfigurovat více než jednoho zprostředkovatele identity ID Microsoft Entra.

Přehled možností zabezpečení přístupu k portálu pro vývojáře najdete v tématu Zabezpečený přístup k portálu pro vývojáře služby API Management.

Poznámka:

API Management poskytuje podporu starších verzí Azure Active Directory B2C jako externího poskytovatele identity. Pro nová nasazení portálu pro vývojáře služby API Management ale doporučujeme použít externí ID Microsoft Entra jako zprostředkovatele identity místo Azure Active Directory B2C.

Důležité

Od 1. května 2025 už nebude Azure AD B2C k dispozici k nákupu pro nové zákazníky. Další informace najdete v našich nejčastějších dotazech.

Požadavky

• Microsoft Entra ID tenant (tenantu pracovní síly), ve kterém se má povolit externí přístup, nebo samostatný externí tenant
• Oprávnění k vytvoření aplikace a konfiguraci toků uživatelů v tenantovi pracovních sil
• Instance správy API. Pokud ho ještě nemáte, vytvořte instanci služby Azure API Management.
• Pokud jste instanci vytvořili na úrovni v2, povolte portál pro vývojáře. Další informace najdete v tématu Kurz: Přístup a přizpůsobení portálu pro vývojáře.

Přidejte externího poskytovatele identity ke svému klientovi

Pokud používáte pracovního tenanta, musí být ve vašem pracovním tenantovi povolený externí poskytovatel identity. Konfigurace externího zprostředkovatele identity je mimo rozsah tohoto článku. Další informace najdete v tématu Zprostředkovatelé identity pro externí ID v tenantovi pro zaměstnance.

Vytvoření registrace aplikace Microsoft Entra

Vytvořte registraci aplikace v tenantovi Microsoft Entra ID. Registrace aplikace představuje aplikaci portálu pro vývojáře v Microsoft Entra a umožňuje portálu přihlásit uživatele pomocí ID Microsoft Entra.

1. Na webu Azure Portal přejděte na Microsoft Entra ID.
2. V nabídce bočního panelu v části Spravovat vyberte Registrace> aplikací+ Nová registrace.
3. Na stránce Registrace aplikace zadejte registrační informace vaší aplikace.
   • V části Název zadejte název aplikace podle svého výběru.
   • V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.
   • V identifikátoru URI přesměrování vyberte jednostránkové aplikace (SPA) a zadejte následující adresu URL: https://{your-api-management-service-name}.developer.azure-api.net/signin, kde {your-api-management-service-name} je název vaší instance služby API Management.
   • Vyberte Zaregistrovat a vytvořte aplikaci. 1. Na stránce Přehled aplikace vyhledejte ID aplikace (klienta) a ID adresáře (tenanta) a zkopírujte tyto hodnoty do bezpečného umístění. Budete je potřebovat později.
4. V nabídce bočního panelu v části Spravovat vyberte Certifikáty a tajné kódy.
5. Na stránce Certifikáty a tajné kódy na kartě Tajné kódy klienta vyberte + Nový tajný klíč klienta.
   • Zadejte popis.
   • Vyberte libovolnou možnost vypršení platnosti.
   • Zvolte položku Přidat.
6. Před opuštěním stránky zkopírujte hodnotu tajného klíče klienta do bezpečného umístění. Budete ho potřebovat později.
7. V nabídce bočního panelu v části Spravovat vyberte Konfigurace> tokenu+ Přidat volitelnou deklaraci identity.
   1. V typu tokenu vyberte ID.
   2. Vyberte (zaškrtněte) následující deklarace identity: e-mail, family_name, given_name.
   3. Vyberte Přidat. Pokud se zobrazí výzva, vyberte Zapnout e-mail Microsoft Graphu, oprávnění profilu.

Povolení samoobslužné registrace pro vašeho tenanta

Aby se externí uživatelé mohli zaregistrovat k portálu pro vývojáře, musíte provést následující kroky:

• Povolte samoobslužnou registraci pro vašeho tenanta.
• Přidejte aplikaci do toku uživatele samoobslužné registrace.

Další informace a podrobné kroky najdete v následujících článcích v závislosti na tom, jestli používáte pracovníky nebo externího tenanta:

• Správa pracovního prostředí: Přidání samoobslužných toků pro registraci uživatelů ke spolupráci B2B
• Externí tenant: Vytvoření toku uživatele pro registraci a přihlášení pro aplikaci externího tenanta a přidání aplikace do toku uživatele

Konfigurace ID Microsoft Entra jako zprostředkovatele identity pro portál pro vývojáře

V instanci služby API Management nakonfigurujte zprostředkovatele identity Microsoft Entra ID. Potřebujete hodnoty, které jste zkopírovali z registrace aplikace v předchozí části.

1. Na kartě Azure Portal přejděte k vaší instanci služby API Management.

2. V nabídce bočního panelu v části Portál pro vývojáře vyberte Identity>+ Přidat.

3. Na stránce Přidat zprostředkovatele identity vyberte Microsoft Entra ID. Po výběru můžete zadat další potřebné informace.

   1. V ID klienta zadejte ID aplikace (klienta) z registrace vaší aplikace.
   2. V tajném klíči klienta zadejte hodnotu Secret z registrace aplikace.
   3. V tenant pro přihlášení zadejte ID adresáře (tenant) z registrace vaší aplikace.
   • V rozevíracím seznamu Klientská knihovna vyberte MSAL.

4. Vyberte Přidat.

   

5. Znovu publikujte portál pro vývojáře, aby se projevila konfigurace Microsoft Entra. V nabídce bočního panelu v části Portál pro vývojáře vyberteMožnost Publikovat> portálu.

Důležité

Při vytváření nebo aktualizaci nastavení konfigurace zprostředkovatele identity je potřeba znovu publikovat portál pro vývojáře , aby se změny projevily.

Přihlášení k portálu pro vývojáře pomocí externího ID Microsoft Entra

Na portálu pro vývojáře je možné přihlásit se pomocí externího ID Microsoft Entra pomocí tlačítka Pro přihlášení: widget OAuth . Widget je již součástí přihlašovací stránky výchozího obsahu portálu pro vývojáře.

1. Pokud se chcete přihlásit pomocí externího ID Microsoft Entra, otevřete nové okno prohlížeče a přejděte na portál pro vývojáře. Vyberte Sign in (Přihlásit se).

2. Na přihlašovací stránce vyberte Azure Active Directory.

   

3. V okně pro přihlášení pro vašeho tenanta Microsoft Entra vyberte možnosti přihlášení. Vyberte zprostředkovatele identity, který jste nakonfigurovali ve svém tenantovi Microsoft Entra pro přihlášení. Pokud jste například nakonfigurovali Google jako zprostředkovatele identity, vyberte Přihlásit se pomocí Googlu.

   

Pokud chcete pokračovat v přihlašování, odpovězte na výzvy. Po dokončení přihlášení se přesměrujete zpět na portál pro vývojáře.

Teď jste přihlášení k portálu pro vývojáře pro vaši instanci služby API Management. V části Uživatelé jste přidaní jako novou identitu uživatele služby API Management a nového externího uživatele tenanta v Microsoft Entra ID.

Související obsah

• Zabezpečený přístup k portálu pro vývojáře služby API Management
• Autorizace přístupu k portálu pro vývojáře služby API Management pomocí ID Microsoft Entra
• Úvod do Microsoft Entra External ID
• Podporované funkce pracovních sil a externích tenantů