So autorisieren Sie Entwicklerkonten mithilfe der externen Microsoft Entra-ID

GILT FÜR: Entwickler | Basic v2 | Standard | Standard v2 | Premium | Premium v2

Die externe Microsoft Entra-ID ist eine Cloudidentitätsverwaltungslösung, mit der externe Identitäten sicher auf Ihre Apps und Ressourcen zugreifen können. Sie können ihn verwenden, um den Zugriff auf Ihr API Management-Entwicklerportal durch externe Identitäten zu verwalten.

In diesem Artikel lernen Sie die Konfiguration des Microsoft Entra ID-Identitätsanbieters für die folgenden Szenarien kennen, die vom API Management-Entwicklerportal unterstützt werden:

• Integration mit der externen Microsoft Entra-ID in Ihrem Mitarbeitermandanten. Wenn Ihr Mitarbeitermandant beispielsweise für die Contoso-Organisation vorgesehen ist, können Sie Google oder Facebook als externen Identitätsanbieter konfigurieren, damit sich diese externen Benutzer auch mit ihren Konten anmelden können.
• Integration mit Microsoft Entra External ID in einem separaten externen Mandanten. Mit dieser Konfiguration können sich externe Benutzer von diesem Mandanten nur beim Entwicklerportal anmelden.

Hinweis

Derzeit können Sie nicht mehr als einen Microsoft Entra ID-Identitätsanbieter für das Entwicklerportal konfigurieren.

Eine Übersicht über Optionen zum Sichern des Zugriffs auf das Entwicklerportal finden Sie unter "Sicherer Zugriff auf das API Management-Entwicklerportal".

Hinweis

Die API-Verwaltung bietet Legacy-Unterstützung für Azure Active Directory B2C als einen externen Identitätsanbieter. Es wird jedoch empfohlen, die externe Microsoft Entra-ID anstelle von Azure Active Directory B2C für neue Bereitstellungen des API Management-Entwicklerportals als Identitätsanbieter zu verwenden.

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Voraussetzungen

• Ein Microsoft Entra ID-Mandant (Mitarbeitermandant), in dem der externe Zugriff aktiviert werden kann, oder ein separater externer Mandant
• Berechtigungen zum Erstellen einer Anwendung und Konfigurieren von Benutzerflüssen im Arbeitsmandanten.
• Eine API Management-Instanz. Wenn Sie noch keines haben, erstellen Sie eine Azure API-Verwaltungsinstanz.
• Wenn Sie Ihre Instanz auf einer v2-Ebene erstellt haben, aktivieren Sie das Entwicklerportal. Weitere Informationen finden Sie im Lernprogramm: Zugreifen und Anpassen des Entwicklerportals.

Hinzufügen eines externen Identitätsanbieters zu Ihrem Mandanten

Wenn Sie einen Mitarbeiter-Tenant verwenden, muss ein externer Identitätsanbieter in Ihrem Mitarbeiter-Tenant aktiviert sein. Das Konfigurieren des externen Identitätsanbieters liegt außerhalb des Umfangs dieses Artikels. Weitere Informationen finden Sie unter Identitätsanbieter für externe Identitäten in Mitarbeitermandant.

Erstellen der Microsoft Entra-App-Registrierung

Erstellen Sie eine App-Registrierung in Ihrem Microsoft Entra ID-Mandanten. Die App-Registrierung stellt die Entwicklerportalanwendung in Microsoft Entra dar und ermöglicht es dem Portal, Benutzer mithilfe der Microsoft Entra-ID anzumelden.

1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID.
2. Wählen Sie im Randleistenmenü unter "Verwalten" die Option "App-Registrierungen>+ Neue Registrierung" aus.
3. Geben Sie auf der Seite " Anwendung registrieren " die Registrierungsinformationen Ihrer Anwendung ein.
   • Geben Sie im Abschnitt "Name " einen Anwendungsnamen Ihrer Wahl ein.
   • Wählen Sie im Abschnitt "Unterstützte Kontotypen" nur "Konten" in diesem Organisationsverzeichnis aus.
   • Wählen Sie in Umleitungs-URIdie Einzelseitenanwendung (Single-page Application, SPA) aus, und geben Sie die folgende URL ein: https://{your-api-management-service-name}.developer.azure-api.net/signin, wobei {your-api-management-service-name} der Name Ihrer API-Verwaltungsinstanz ist.
   • Wählen Sie Registrieren aus, um die Anwendung zu erstellen. 1.Suchen Sie auf der Seite "App-Übersicht " die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandant), und kopieren Sie diese Werte an einen sicheren Speicherort. Sie benötigen sie später.
4. Wählen Sie im Randleistenmenü unter "Verwalten" die Option "Zertifikate und Geheime Schlüssel" aus.
5. Wählen Sie auf der Seite "Zertifikate und geheime Schlüssel " auf der Registerkarte " GeheimeClientschlüssel" die Option "+Neuer geheimer Clientschlüssel" aus.
   • Geben Sie eine Beschreibung ein.
   • Wählen Sie eine beliebige Option für "Läuft ab".
   • Wählen Sie Hinzufügen aus.
6. Kopieren Sie den Wert des geheimen Clientschlüssels an einen sicheren Speicherort, bevor Sie die Seite verlassen. Sie benötigen ihn später.
7. Wählen Sie im Randleistenmenü unter "Verwalten" die Option "Tokenkonfiguration>+ Optionalen Anspruch hinzufügen" aus.
   1. Wählen Sie im Tokentypdie ID aus.
   2. Aktivieren (überprüfen) Sie die folgenden Attribute: E-Mail, Nachname, Vorname.
   3. Wählen Sie Hinzufügen aus. Wählen Sie bei entsprechender Aufforderung E-Mail, Profilberechtigung von Microsoft Graph aktivieren aus.

Aktivieren der Self-Service-Registrierung für Ihren Mandanten

Damit sich externe Benutzer für den Zugriff auf das Entwicklerportal registrieren können, müssen Sie die folgenden Schritte ausführen:

• Aktivieren Sie die Self-Service-Registrierung für Ihren Mandanten.
• Fügen Sie Ihre App zum Self-Service-Registrierungsbenutzerablauf hinzu.

Weitere Informationen und ausführlichere Schritte finden Sie in den folgenden Artikeln, je nachdem, ob Sie eine Belegschaft oder einen externen Mandanten verwenden:

• Mitarbeitermandant: Hinzufügen von Self-Service-Anmelde-Benutzerflows für die B2B-Zusammenarbeit
• Externer Mandant: Erstellen eines Registrierungs- und Anmeldebenutzerablaufs für eine externe Mandanten-App und Hinzufügen einer App zum Benutzerablauf

Konfigurieren der Microsoft Entra-ID als Identitätsanbieter für das Entwicklerportal

Konfigurieren Sie in Ihrer API-Verwaltungsinstanz den Microsoft Entra ID-Identitätsanbieter. Sie benötigen die Werte, die Sie aus der App-Registrierung in einem vorherigen Abschnitt kopiert haben.

1. Navigieren Sie auf der Registerkarte "Azure-Portal " zu Ihrer API-Verwaltungsinstanz.

2. Wählen Sie in der Seitenleiste unter EntwicklerportalIdentitäten> und + Hinzufügen aus.

3. Wählen Sie auf der Seite " Identitätsanbieter hinzufügen " die Option "Microsoft Entra-ID" aus. Nach der Auswahl können Sie andere erforderliche Informationen eingeben.

   1. Geben Sie in der Client-ID die Anwendungs-ID (Client-ID) aus Ihrer App-Registrierung ein.
   2. Geben Sie im geheimen Clientschlüssel den Wert "Geheim" aus ihrer App-Registrierung ein.
   3. In Anmeldemandant, geben Sie die Verzeichnis-ID (Mandant) aus Ihrer App-Registrierung ein.
   • Wählen Sie im Dropdown ClientbibliothekMSAL aus.

4. Wählen Sie Hinzufügen aus.

   

5. Veröffentlichen Sie das Entwicklerportal erneut, damit die Microsoft Entra-Konfiguration wirksam wird. Wählen Sie im Randleistenmenü unter "Entwicklerportal" die Option "Portalübersicht>veröffentlichen" aus.

Von Bedeutung

Sie müssen das Entwicklerportal erneut veröffentlichen , wenn Sie die Konfigurationseinstellungen des Identitätsanbieters erstellen oder aktualisieren, damit die Änderungen wirksam werden.

Anmelden beim Entwicklerportal mit externer Microsoft Entra-ID

Im Entwicklerportal ist die Anmeldung mit der externen Microsoft Entra-ID mit der Schaltfläche "Anmelden" möglich: OAuth-Widget . Das Widget ist bereits auf der Anmeldeseite des Standardmäßigen Entwicklerportalinhalts enthalten.

1. Um sich mit der externen Microsoft Entra-ID anzumelden, öffnen Sie ein neues Browserfenster, und wechseln Sie zum Entwicklerportal. Wählen Sie "Anmelden" aus.

2. Wählen Sie auf der AnmeldeseiteAzure Active Directory aus.

   

3. Wählen Sie im Anmeldefenster für Ihren Microsoft Entra-Mandanten die Anmeldeoptionen aus. Wählen Sie den Identitätsanbieter aus, den Sie in Ihrem Microsoft Entra-Mandanten konfiguriert haben, um sich anzumelden. Wenn Sie beispielsweise Google als Identitätsanbieter konfiguriert haben, wählen Sie "Mit Google anmelden" aus.

   

Um die Anmeldung fortzusetzen, antworten Sie auf die Eingabeaufforderungen. Nachdem die Anmeldung abgeschlossen ist, werden Sie zurück zum Entwicklerportal umgeleitet.

Sie sind jetzt beim Entwicklerportal für Ihre API-Verwaltungsdienstinstanz angemeldet. Sie werden als neues API Management-Benutzerkonto in der Benutzerliste und als neuer externer Mandantenbenutzer in Microsoft Entra ID hinzugefügt.

Verwandte Inhalte

• Sicherer Zugriff auf das API Management-Entwicklerportal
• Autorisieren des Zugriffs auf das API Management-Entwicklerportal mithilfe der Microsoft Entra-ID
• Einführung in die externe Microsoft Entra-ID
• Unterstützte Funktionen in Mitarbeitermandaten und externen Mandanten