Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR: Alle API Management-Ebenen
Um den Zugriff auf Back-End-APIs zu verwalten, enthält Ihre API Management-Instanz eine Anmeldeinformationsverwaltung. Verwenden Sie die Anmeldeinformationsverwaltung, um den Zugriff auf API-Anmeldeinformationen über Ihre API Management-Instanz zu verwalten, zu speichern und zu steuern.
Hinweis
- Derzeit können Sie die Anmeldeinformationsverwaltung verwenden, um Verbindungen (früher als Autorisierungen bezeichnet) für OAuth 2.0-Back-End-APIs zu konfigurieren und zu verwalten.
- Durch die Anmeldeinformationsverwaltung entstehen keine Breaking Changes. OAuth 2.0-Anmeldeinformationsanbieter und -verbindungen verwenden die vorhandenen API Management-Autorisierungs-APIs und -Ressourcenanbieter.
Hinweis
Dieses Feature ist derzeit in Arbeitsbereichen nicht verfügbar.
Verwaltete Verbindungen für OAuth 2.0-APIs
Mithilfe der Anmeldeinformationsverwaltung können Sie den Prozess der Authentifizierung und Autorisierung von Benutzer*innen, Gruppen und Dienstprinzipalen in einem oder mehreren Back-End- oder SaaS-Diensten, die OAuth 2.0 verwenden, erheblich vereinfachen. Mithilfe des Anmeldeinformations-Managers der API-Verwaltung können Sie OAuth 2.0, Zustimmung, Abrufen von Token, Cachetoken in einem Anmeldeinformationsspeicher und Aktualisierungstoken ganz einfach konfigurieren, ohne eine einzelne Codezeile zu schreiben. Verwenden Sie Zugriffsrichtlinien, um die Authentifizierung an Ihre API Management-Instanz, Dienstprinzipale, Benutzer*innen oder Gruppen zu delegieren. Hintergrundinformationen zu OAuth 2.0 finden Sie unter Microsoft Identity Platform und OAuth 2.0-Autorisierungscodeflow.
Mit diesem Feature können APIs mit oder ohne Abonnementschlüssel verfügbar sein, OAuth 2.0-Autorisierungen für Back-End-Dienste verwendet und die Entwicklungskosten beim Hochfahren, Implementieren und Verwalten von Sicherheitsfeatures mit Dienstintegrationen reduziert werden.
Beispiele für Anwendungsfälle
Mithilfe von OAuth-Verbindungen, die in API Management verwaltet werden, können Kunden problemlos eine Verbindung mit SaaS-Anbietern oder Back-End-Diensten herstellen, die OAuth 2.0 verwenden. Im Folgenden finden Sie einige Beispiele:
Stellen Sie einfach eine Verbindung mit einem SaaS-Back-End her, indem Sie das gespeicherte Autorisierungstoken und Proxyanforderungen anfügen.
Proxyanforderungen an eine Azure App Service-Web-App oder ein Azure Functions-Back-End durch Anfügen des Autorisierungstokens, das später Anforderungen an ein SaaS-Back-End senden kann, das Transformationslogik anwendet.
Proxyanforderungen an GraphQL-Partnerverbund-Back-Ends durch Anfügen mehrerer Zugriffstoken zum einfachen Ausführen des Partnerverbunds.
Machen Sie einen Endpunkt zum Abrufen von Token verfügbar, erwerben Sie ein zwischengespeichertes Token und rufen Sie ein SaaS-Back-End im Namen des Benutzenden von einer beliebigen Compute-Instanz aus auf, z. B. einer Konsolen-App oder einem Kubernetes-Daemon. Kombinieren Sie Ihr bevorzugtes SaaS-SDK in einer unterstützten Sprache.
Unbeaufsichtigte Azure Functions-Szenarien beim Herstellen einer Verbindung mit mehreren SaaS-Back-Ends.
Durable Functions kommt Logic Apps mit SaaS-Konnektivität einen Schritt näher.
Mit OAuth 2.0-Verbindungen kann jede API in API Management als benutzerdefinierter Logic Apps-Connector agieren.
Wie funktioniert die Anmeldeinformationsverwaltung?
Tokenanmeldeinformationen in der Anmeldeinformationsverwaltung bestehen aus zwei Teilen: Verwaltung und Laufzeit.
Der Verwaltungsteil im Anmeldeinformations-Manager kümmert sich um das Einrichten und Konfigurieren eines Anmeldeinformationsanbieters für OAuth 2.0-Token, wodurch der Zustimmungsfluss für den Identitätsanbieter aktiviert und eine oder mehrere Verbindungen mit dem Anmeldeinformationsanbieter für den Zugriff auf die Anmeldeinformationen eingerichtet werden. Ausführliche Informationen finden Sie unter Verwaltung von Verbindungen.
Der Laufzeitanteil verwendet die
get-authorization-context-Richtlinie zum Abrufen und Speichern der Zugriffs- und Aktualisierungstoken der Verbindung. Wenn ein Aufruf in die API-Verwaltung eingeht und dieget-authorization-contextRichtlinie ausgeführt wird, wird zuerst überprüft, ob das vorhandene Autorisierungstoken gültig ist. Wenn das Autorisierungstoken abgelaufen ist, verwendet API Management einen OAuth 2.0-Flow, um die gespeicherten Token vom Identitätsanbieter zu aktualisieren. Anschließend wird das Zugriffstoken verwendet, um den Zugriff auf den Back-End-Dienst zu autorisieren. Ausführliche Informationen finden Sie unter Laufzeit von Verbindungen.
Wann soll die Anmeldeinformationsverwaltung verwendet werden?
Hier sind drei Szenarien für die Verwendung der Anmeldeinformationsverwaltung.
Konfigurationsszenario
Nach dem Konfigurieren des Anmeldeinformationsanbieters und einer Verbindung kann der API-Manager die Verbindung testen. Der API-Manager konfiguriert eine OAuth-Back-End-API zu Testzwecken für die Verwendung der get-authorization-context-Richtlinie mithilfe der verwalteten Identität der Instanz. Der API-Manager kann die Verbindung dann testen, indem die Test-API aufgerufen wird.
Unbeaufsichtigtes Szenario
Wenn eine Verbindung hergestellt wird, werden standardmäßig eine Zugriffsrichtlinie und eine Verbindung für die verwaltete Identität der API Management-Instanz vorkonfiguriert. Um eine solche Verbindung zu verwenden, können sich unterschiedliche Benutzer bei einer Clientanwendung wie einer statischen Web-App anmelden, die dann eine Back-End-API aufruft, die über die API-Verwaltung verfügbar gemacht wird. Um diesen Aufruf zu tätigen, werden Verbindungen mithilfe der get-authorization-context-Richtlinie angewendet. Da der API-Aufruf eine vorkonfigurierte Verbindung verwendet, die nicht mit dem Benutzerkontext verknüpft ist, werden dieselben Daten an alle Benutzer*innen zurückgegeben.
Beaufsichtigtes (benutzerdelegiertes) Szenario
Um eine vereinfachte Authentifizierungserfahrung für Benutzer von Clientanwendungen (z. B. statische Web-Apps) zu ermöglichen, die SaaS-Back-End-APIs aufrufen, die einen Benutzerkontext erfordern, können Sie den Zugriff auf eine Verbindung im Auftrag eines Microsoft Entra-Benutzers oder einer Gruppenidentität aktivieren. In diesem Fall muss sich ein konfigurierter Benutzer nur einmal anmelden und seine Zustimmung erteilen, und die API-Verwaltungsinstanz erstellt und verwaltet danach ihre Verbindung. Wenn API Management einen eingehenden Aufruf erhält, der an einen externen Dienst weitergeleitet werden soll, wird das Zugriffstoken von der Verbindung an die Anforderung angefügt. Dies ist ideal, wenn API-Anforderungen und -Antworten auf einzelne Benutzer*innen bezogen sind (z. B. Abrufen von benutzerspezifischen Profilinformationen).
Wie wird die Anmeldeinformationsverwaltung konfiguriert?
Requirements (Anforderungen)
Verwaltete systemseitig zugewiesene Identität muss für die API Management-Instanz aktiviert sein.
Die API Management-Instanz muss über eine ausgehende Internetverbindung an Port 443 (HTTPS) verfügen.
Verfügbarkeit
Alle API Management-Dienstebenen
Im selbst gehosteten Gateway nicht unterstützt
In Sovereign Clouds oder in den folgenden Regionen nicht unterstützt: australiacentral, australiacentral2, indiacentral
Beispiele mit Schrittanleitungen
- Konfigurieren der Anmeldeinformationsverwaltung – GitHub-API
- Konfigurieren der Anmeldeinformationsverwaltung – Microsoft Graph-API
- Konfigurieren des Anmeldeinformations-Managers – vom Benutzer delegierter Zugriff auf die Back-End-API
Sicherheitshinweise
Das Zugriffstoken und andere Geheimnisse (z. B. der geheime Clientschlüssel) werden mit einer Umschlagsverschlüsselung verschlüsselt und in einem internen, mehrinstanzenfähigen Speicher gespeichert. Die Daten werden mit AES-128 mit einem Schlüssel verschlüsselt, der pro Daten eindeutig ist. Diese Schlüssel werden asymmetrisch mit einem Masterzertifikat verschlüsselt, das in Azure Key Vault gespeichert ist und jeden Monat rotiert wird.
Einschränkungen
| Resource | Begrenzung |
|---|---|
| Maximale Anzahl von Anmeldeinformationsanbietern pro Dienstinstanz | 1.000 |
| Maximale Anzahl von Verbindungen pro Anmeldeinformationsanbieter | 10.000 |
| Maximale Anzahl von Zugriffsrichtlinien pro Verbindung | 100 |
| Maximale Anzahl von Autorisierungsanforderungen pro Minute und Verbindung | 250 |
Häufig gestellte Fragen (FAQ)
Wann werden die Zugriffstoken aktualisiert?
Für eine Verbindung vom Typ Autorisierungscode werden Zugriffstoken wie folgt aktualisiert:
Wenn die get-authorization-context Richtlinie zur Laufzeit ausgeführt wird, überprüft das API-Management, ob das gespeicherte Zugriffstoken gültig ist. Wenn das Token abgelaufen ist oder bald ablaufen wird, verwendet API Management das Aktualisierungstoken, um ein neues Zugriffstoken und ein neues Aktualisierungstoken von dem konfigurierten Identitätsanbieter abzurufen. Wenn das Aktualisierungstoken abgelaufen ist, wird ein Fehler ausgelöst, und die Verbindung muss erneut authentifiziert werden, damit sie funktioniert.
Was geschieht, wenn der geheime Clientschlüssel beim Identitätsanbieter abläuft?
Zur Laufzeit kann die API-Verwaltung keine neuen Token abrufen, und ein Fehler tritt auf.
Wenn die Verbindung vom Typ autorisierungscode ist, muss der geheime Clientschlüssel auf Anmeldeinformationsanbieterebene aktualisiert werden.
Wenn die Verbindung vom Typ "Clientanmeldeinformationen" ist, muss der geheime Clientschlüssel auf Verbindungsebene aktualisiert werden.
Wird dieses Feature unterstützt, wenn API Management verwendet wird, das in einem VNet ausgeführt wird?
Ja, solange die ausgehende Konnektivität an Port 443 für das AzureConnectors-Diensttag aktiviert ist. Weitere Informationen finden Sie unter Konfigurationsreferenz für virtuelle Netzwerke.
Was geschieht, wenn ein Anmeldeinformationsanbieter gelöscht wird?
Alle zugrunde liegenden Verbindungen und Zugriffsrichtlinien werden ebenfalls gelöscht.
Werden die Zugriffstoken von API Management zwischengespeichert?
In den klassischen und v2-Dienstebenen wird das Zugriffstoken von der API-Verwaltungsinstanz bis zu drei Minuten vor der Tokenablaufzeit zwischengespeichert. Wenn das Zugriffstoken weniger als drei Minuten vom Ablauf entfernt ist, wird die zwischengespeicherte Zeit bis zum Ablauf des Zugriffstokens festgelegt.
Zugriffstoken werden auf der Verbrauchsebene nicht zwischengespeichert.
Verwandte Inhalte
- Konfigurieren von Anmeldeinformationsanbietern für Verbindungen
- Konfigurieren und Verwenden einer Verbindung für die Microsoft Graph-API oder die GitHub-API
- Konfigurieren einer Verbindung für benutzerdelegierten Zugriff
- Konfigurieren mehrerer Verbindungen für einen Anmeldeinformationsanbieter