Sdílet prostřednictvím

Ochrana rozhraní API ve službě Azure API Management s využitím ověřování OAuth 2.0 a Microsoft Entra ID

PLATÍ PRO: Všechny úrovně služby API Management

V tomto článku se dozvíte základní kroky ke konfiguraci instance služby Azure API Management pro ochranu rozhraní API pomocí protokolu OAuth 2.0 s ID Microsoft Entra.

Koncepční přehled autorizace rozhraní API najdete v tématu Ověřování a autorizace pro rozhraní API ve službě API Management.

Požadavky

Než budete postupovat podle kroků v tomto článku, musíte mít:

  • Instance služby API Management
  • Publikované rozhraní API využívající instanci služby API Management
  • Tenant Microsoft Entra

Přehled

Pomocí těchto kroků můžete chránit rozhraní API ve službě API Management pomocí autorizace OAuth 2.0 s ID Microsoft Entra.

  1. Zaregistrujte aplikaci (v tomto článku se nazývá back-endová aplikace ) v MICROSOFT Entra ID.

    Pro přístup k rozhraní API musí uživatelé nebo aplikace získat a předložit platný token OAuth, který této aplikaci uděluje přístup s každou žádostí rozhraní API.

  2. Nakonfigurujte zásady validate-jwt ve službě API Management. Tato zásada ověří token OAuth uvedený v každém příchozím požadavku rozhraní API. Platné požadavky je možné předat do rozhraní API.

Podrobnosti o tocích autorizace OAuth a o tom, jak vygenerovat požadované tokeny OAuth, jsou nad rámec tohoto článku. Samostatná klientská aplikace se obvykle používá k získání tokenů z ID Microsoft Entra, které autorizují přístup k rozhraní API. Odkazy na další informace najdete v části související obsah .

Registrace aplikace v Microsoft Entra ID představující rozhraní API

Pomocí webu Azure Portal chraňte rozhraní API pomocí ID Microsoft Entra tím, že nejprve zaregistrujete aplikaci, která představuje rozhraní API.

Podrobnosti o registraci aplikace najdete v tématu Rychlý start: Konfigurace aplikace pro zveřejnění webového rozhraní API.

  1. Na webu Azure Portal vyhledejte a vyberte Registrace aplikací.

  2. Vyberte Nová registrace.

  3. Jakmile se zobrazí stránka Registrovat aplikaci, zadejte informace o registraci aplikace:

    • V části Název zadejte smysluplný název aplikace, například back-endovou aplikaci. Tento název se zobrazí uživatelům aplikace.
    • V části Podporované typy účtů vyberte možnost, která vyhovuje vašemu scénáři.

  4. Oddíl identifikátoru URI přesměrování ponechte prázdný.

  5. Výběrem možnosti Registrovat aplikaci vytvořte.

  6. Na stránce Přehled aplikace najděte hodnotu ID aplikace (klienta) a poznamenejte si ji pro pozdější použití.

  7. V části Správa boční nabídky vyberte Zveřejnit rozhraní API a nastavte identifikátor URI ID aplikace na výchozí hodnotu. Pokud vyvíjíte samostatnou klientskou aplikaci pro získání tokenů OAuth 2.0 pro přístup k back-endové aplikaci, poznamenejte si tuto hodnotu pro pozdější použití.

  8. Výběrem tlačítka Přidat obor zobrazte stránku Přidat obor:

    1. Zadejte nový název oboru, zobrazovaný název souhlasu správce a popis souhlasu správce.
    2. Ujistěte se, že je vybraný stav povoleného oboru.

  9. Výběrem tlačítka Přidat obor vytvořte obor.

  10. Opakováním předchozích dvou kroků přidejte všechny obory podporované vaším rozhraním API.

  11. Jakmile se obory vytvoří, poznamenejte si je pro pozdější použití.

Konfigurace zásad ověřování JWT pro předběžné autorizace požadavků

Následující ukázková zásada při přidání do oddílu <inbound> zásad zkontroluje hodnotu deklarace identity cílové skupiny v přístupovém tokenu získaném z ID Microsoft Entra, které se zobrazí v hlavičce Autorizace. Pokud token není platný, vrátí chybovou zprávu. Nakonfigurujte tuto zásadu v oboru zásad, který je vhodný pro váš scénář.

  • V adrese openid-config URL aad-tenant je ID tenanta v Microsoft Entra ID. Tuto hodnotu najdete na webu Azure Portal, například na stránce Přehled vašeho prostředku Microsoft Entra. Uvedený příklad předpokládá aplikaci Microsoft Entra s jedním tenantem a koncový bod konfigurace v2.
  • Hodnota claim je ID klienta back-endové aplikace, kterou jste zaregistrovali v Microsoft Entra ID.
<validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized. Access token is missing or invalid.">
    <openid-config url="https://login.microsoftonline.com/{aad-tenant}/v2.0/.well-known/openid-configuration" />
    <audiences>
        <audience>{audience-value - (ex:api://guid)}</audience>
    </audiences>
    <issuers>
        <issuer>{issuer-value - (ex: https://sts.windows.net/{tenant id}/)}</issuer>
    </issuers>
    <required-claims>
        <claim name="aud">
            <value>{backend-app-client-id}</value>
        </claim>
    </required-claims>
</validate-jwt>

Poznámka:

Předchozí openid-config adresa URL odpovídá koncovému bodu v2. Pro koncový bod v1 openid-config použijte https://login.microsoftonline.com/{aad-tenant}/.well-known/openid-configuration.

Informace o konfiguraci zásad najdete v tématu Nastavení nebo úprava zásad. Další přizpůsobení ověřování JWT najdete v referenční dokumentaci validate-jwt . K ověření JWT poskytované službou Microsoft Entra poskytuje validate-azure-ad-token služba API Management také zásady.

Pracovní postup autorizace

  1. Uživatel nebo aplikace získá token z ID Microsoft Entra s oprávněními, která udělují přístup k back-endové aplikaci. Pokud používáte koncový bod v2, ujistěte se, že accessTokenAcceptedVersion je vlastnost nastavená v 2 manifestu aplikace back-endové aplikace a jakékoli klientské aplikace, kterou nakonfigurujete.

  2. Token se přidá do autorizační hlavičky požadavků rozhraní API do služby API Management.

  3. Služba API Management token ověří pomocí validate-jwt zásad.

    • Pokud požadavek nemá platný token, služba API Management ho zablokuje.

    • Pokud požadavek obsahuje platný token, může brána požadavek předat do rozhraní API.

Související obsah

  • Last updated on