Autorisieren des Zugriffs auf APIs im API Center

Sie können Einstellungen konfigurieren, um den Zugriff auf APIs in Ihrem API Center zu autorisieren. Diese Einstellungen:

• Aktivieren der API-Authentifizierung mithilfe von API-Schlüsseln oder OAuth 2.0-Autorisierung
• Zuordnen bestimmter Authentifizierungsmethoden zu bestimmten API-Versionen in Ihrem Bestand
• Verwalten der Authentifizierung für API-Versionen durch bestimmte Benutzer oder Gruppen über Zugriffsrichtlinien
• Aktivieren autorisierter Benutzer zum Testen von APIs direkt im API Center-Portal

Hinweis

Diese Funktion steht derzeit als Vorschau zur Verfügung.

Voraussetzungen

• Ein API-Center in Ihrem Azure-Abonnement. Wenn Sie noch keins erstellt haben, lesen Sie die Schnellstartanleitung: Erstellen Ihres API-Centers.

• Registrieren Sie mindestens eine API im API Center. Weitere Informationen finden Sie im Lernprogramm: Registrieren von APIs in Ihrem API-Bestand.

• Konfigurieren Sie eine Umgebung und eine Bereitstellung für die API. Weitere Informationen finden Sie im Lernprogramm: Hinzufügen von Umgebungen und Bereitstellungen für APIs.

• Richten Sie das API Center-Portal ein. Weitere Informationen finden Sie unter Einrichten des API Center-Portals.

• Ein Azure Key Vault zum Speichern von API-Schlüsseln oder OAuth 2.0-Clientschlüsseln. Schritte zum Erstellen eines Schlüsseltresors finden Sie unter Erstellen eines Schlüsseltresors. Der Schlüsseltresor sollte das Berechtigungsmodell für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure verwenden.

• (Für die OAuth 2.0-Autorisierung mit der Microsoft Entra-ID) Berechtigungen zum Erstellen einer App-Registrierung in einem Microsoft Entra-Mandanten, der Ihrem Azure-Abonnement zugeordnet ist.

Option 1: Konfigurieren von Einstellungen für die API-Schlüsselauthentifizierung

Führen Sie für eine API, die die API-Schlüsselauthentifizierung unterstützt, die folgenden Schritte aus, um Einstellungen im API Center zu konfigurieren.

Speichern Sie den API-Schlüssel im Azure Key Vault

Um den API-Schlüssel sicher zu verwalten, speichern Sie ihn im Azure Key Vault, und greifen Sie mithilfe der verwalteten Identität Ihres API Centers auf den Schlüsseltresor zu.

Informationen zum Speichern des API-Schlüssels als geheimer Schlüssel im Schlüsseltresor finden Sie unter "Festlegen und Abrufen des geheimen Schlüssels" im Key Vault.

Aktivieren einer verwalteten Identität in Ihrem API-Center

Für dieses Szenario verwendet Ihr API Center eine verwaltete Identität , um auf den Schlüsseltresor zuzugreifen. Aktivieren Sie je nach Ihren Anforderungen entweder eine systemseitig oder ein oder mehrere benutzerseitig zugewiesene verwaltete Identitäten.

Das folgende Beispiel zeigt, wie Sie mithilfe des Azure-Portals eine vom System zugewiesene verwaltete Identität aktivieren. Im Großen und Ganzen sind die Konfigurationsschritte für eine benutzerseitig zugewiesene verwaltete Identität ähnlich.

1. Navigieren Sie im Portal zu Ihrem API-Center.
2. Wählen Sie im linken Menü unter Sicherheit die Option Verwaltete Identitäten aus.
3. Wählen Sie Systemseitig zugewiesen aus, und legen Sie den Status auf Ein fest.
4. Wählen Sie Speichern aus.

Weisen Sie der verwalteten Identität die Rolle "Key Vault Secrets User" zu

Weisen Sie die verwaltete Identität von API Center der Rolle Geheimnisbenutzer für Schlüsseltresore in Ihrem Schlüsseltresor zu. Die folgenden Schritte verwenden das Azure-Portal.

1. Navigieren Sie im Portal zu Ihrem Schlüsseltresor.
2. Wählen Sie im linken Menü Zugriffssteuerung (IAM) aus.
3. Wählen Sie + Rollenzuweisung hinzufügen aus.
4. Legen Sie auf der Seite Rollenzuweisung hinzufügen die Werte wie folgt fest:
   1. Wählen Sie auf der Registerkarte Rolle die Option Key Vault-Geheimnisbenutzer aus.
   2. Wählen Sie auf der Registerkarte " Mitglieder " unter " Zugriff zuweisen"die Option "Verwaltete Identität>+ Mitglieder auswählen" aus.
   3. Wählen Sie auf der Seite Verwaltete Identitäten auswählen die systemseitig zugewiesene verwaltete Identität Ihres API-Centers aus, die Sie im vorherigen Abschnitt hinzugefügt haben. Klicke auf Auswählen.
   4. Wählen Sie erneut Überprüfen und zuweisen aus.

2. Hinzufügen der API-Schlüsselkonfiguration im API Center

1. Navigieren Sie im Portal zu Ihrem API-Center.

2. Wählen Sie im linken Menü unter "Governance" die Option "Autorisierung (Vorschau)>+ Konfiguration hinzufügen" aus.

3. Legen Sie auf der Seite " Konfiguration hinzufügen " die Werte wie folgt fest:

   Einstellung	Beschreibung
   Titel	Geben Sie einen Namen für die Autorisierung ein.
   Beschreibung	Geben Sie optional eine Beschreibung für die Autorisierung ein.
   Sicherheitsschema	Wählen Sie DEN API-Schlüssel aus.
   API-Schlüsselspeicherort	Wählen Sie aus, wie der Schlüssel in API-Anforderungen dargestellt wird. Verfügbare Werte sind Header (Anforderungsheader ) und Abfrage (Abfrageparameter).
   API-Schlüsselparametername	Geben Sie den Namen des HTTP-Headers oder Abfrageparameters ein, der den API-Schlüssel enthält. Beispiel: x-api-key
   Verweis auf das Key Vault-Geheimnis des API-Schlüssels	Klicken Sie auf "Auswählen" , und wählen Sie das Abonnement, den Schlüsseltresor und den geheimen Schlüssel aus, den Sie gespeichert haben. Beispiel: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>

4. Wählen Sie "Erstellen" aus.

Option 2: Konfigurieren von Einstellungen für die OAuth 2.0-Autorisierung

Führen Sie für eine API, die die OAuth 2.0-Autorisierung unterstützt, die folgenden Schritte aus, um Authentifizierungseinstellungen im API Center zu konfigurieren. Sie können Einstellungen für einen oder beide der folgenden OAuth 2.0-Autorisierungsflüsse konfigurieren:

• Autorisierungscodefluss mit PKCE (Proof Key for Code Exchange) – Dieser Fluss wird für die Authentifizierung von Benutzern im Browser empfohlen, z. B. im API Center-Portal.
• Clientanmeldeinformationsfluss – Dieser Fluss wird für Anwendungen empfohlen, für die keine Berechtigungen eines bestimmten Benutzers für den Zugriff auf Daten erforderlich sind.

1. Erstellen einer OAuth 2.0-App

Erstellen Sie für die OAuth 2.0-Autorisierung eine App-Registrierung in einem Identitätsanbieter, z. B. den Microsoft Entra-Mandanten, der Ihrem Azure-Abonnement zugeordnet ist. Die genauen Erstellungsschritte hängen vom verwendeten Identitätsanbieter ab.

Das folgende Beispiel zeigt, wie Sie eine App-Registrierung in microsoft Entra ID erstellen.

1. Melden Sie sich beim Azure-Portal mit einem Konto mit ausreichenden Berechtigungen im Mandanten an.
2. Navigieren Sie zu Microsoft Entra ID>+ Neue Registrierung.
3. Geben Sie auf der Seite " Anwendung registrieren " Ihre Anwendungsregistrierungseinstellungen ein:
   1. Geben Sie im Namen einen aussagekräftigen Namen für die App ein.
   2. Wählen Sie für Unterstützte Kontotypen eine Option aus, die zu Ihrem Szenario passt, beispielsweise Konten nur in diesem Organisationsverzeichnis (Einzelmandant).
   3. (Für Autorisierungscodefluss) Wählen Sie im Umleitungs-URIdie Einzelseitenanwendung (Single Page Application, SPA) aus, und legen Sie den URI fest. Geben Sie den URI Ihrer API-Center-Portalbereitstellung in der folgenden Form ein: https://<service-name>.portal.<location>.azure-api-center.ms. Ersetzen Sie <service name> und <location> mit dem Namen Ihres API-Centers und dem Speicherort, an dem es bereitgestellt wird, Beispiel: https://myapicenter.portal.eastus.azure-api-center.ms
   4. Wählen Sie Registrieren aus.
4. Wählen Sie im linken Menü unter "Verwalten"die Option "Zertifikate und Geheime Schlüssel" und dann "+Neuer geheimer Clientschlüssel" aus.
   1. Geben Sie eine Beschreibung ein.
   2. Wählen Sie eine Option für Gültig bis aus.
   3. Wählen Sie Hinzufügen aus.
   4. Kopieren Sie den Wert des geheimen Clientschlüssels, bevor Sie die Seite verlassen. Sie benötigen sie im folgenden Abschnitt.
5. Fügen Sie optional API-Bereiche in Ihrer App-Registrierung hinzu. Weitere Informationen finden Sie unter Konfigurieren einer Anwendung für das Verfügbarmachen einer Web-API.

Wenn Sie die OAuth 2.0-Autorisierung in Ihrem API Center konfigurieren, benötigen Sie die folgenden Werte aus der App-Registrierung:

• Die Anwendungs-ID (Client-ID) auf der Seite "Übersicht" der App-Registrierung und den geheimen Clientschlüssel , den Sie zuvor kopiert haben.
• Die folgenden Endpunkt-URLs auf der Seite Übersicht>Endpunkte bei der App-Registrierung:
  • OAuth2.0- Autorisierungsendpunkt (v2) – der Autorisierungsendpunkt für die Microsoft Entra ID
  • OAuth 2.0-Tokenendpunkt (v2) – Der Tokenendpunkt und der Tokenaktualisierungsendpunkt für Microsoft Entra ID
• Alle API-Bereiche, die in der App-Registrierung konfiguriert sind.

2. Speichern des geheimen Clientschlüssels in Azure Key Vault

Um den geheimen Schlüssel sicher zu verwalten, speichern Sie ihn im Azure Key Vault, und greifen Sie mithilfe der verwalteten Identität Ihres API Centers auf den Schlüsseltresor zu.

Informationen zum Speichern des API-Schlüssels als geheimer Schlüssel im Schlüsseltresor finden Sie unter "Festlegen und Abrufen des geheimen Schlüssels" im Key Vault.

Aktivieren einer verwalteten Identität in Ihrem API-Center

Für dieses Szenario verwendet Ihr API Center eine verwaltete Identität , um auf den Schlüsseltresor zuzugreifen. Aktivieren Sie je nach Ihren Anforderungen entweder eine systemseitig oder ein oder mehrere benutzerseitig zugewiesene verwaltete Identitäten.

Das folgende Beispiel zeigt, wie Sie mithilfe des Azure-Portals eine vom System zugewiesene verwaltete Identität aktivieren. Im Großen und Ganzen sind die Konfigurationsschritte für eine benutzerseitig zugewiesene verwaltete Identität ähnlich.

1. Navigieren Sie im Portal zu Ihrem API-Center.
2. Wählen Sie im linken Menü unter Sicherheit die Option Verwaltete Identitäten aus.
3. Wählen Sie Systemseitig zugewiesen aus, und legen Sie den Status auf Ein fest.
4. Wählen Sie Speichern aus.

Weisen Sie der verwalteten Identität die Rolle "Key Vault Secrets User" zu

Weisen Sie die verwaltete Identität von API Center der Rolle Geheimnisbenutzer für Schlüsseltresore in Ihrem Schlüsseltresor zu. Die folgenden Schritte verwenden das Azure-Portal.

1. Navigieren Sie im Portal zu Ihrem Schlüsseltresor.
2. Wählen Sie im linken Menü Zugriffssteuerung (IAM) aus.
3. Wählen Sie + Rollenzuweisung hinzufügen aus.
4. Legen Sie auf der Seite Rollenzuweisung hinzufügen die Werte wie folgt fest:
   1. Wählen Sie auf der Registerkarte Rolle die Option Key Vault-Geheimnisbenutzer aus.
   2. Wählen Sie auf der Registerkarte " Mitglieder " unter " Zugriff zuweisen"die Option "Verwaltete Identität>+ Mitglieder auswählen" aus.
   3. Wählen Sie auf der Seite Verwaltete Identitäten auswählen die systemseitig zugewiesene verwaltete Identität Ihres API-Centers aus, die Sie im vorherigen Abschnitt hinzugefügt haben. Klicke auf Auswählen.
   4. Wählen Sie erneut Überprüfen und zuweisen aus.

3. Hinzufügen der OAuth 2.0-Autorisierung in Ihrem API Center

1. Navigieren Sie im Portal zu Ihrem API-Center.

2. Wählen Sie im linken Menü unter "Governance" die Option "Autorisierung (Vorschau)>+ Konfiguration hinzufügen" aus.

3. Legen Sie auf der Seite " Konfiguration hinzufügen " die Werte wie folgt fest:

   

   Hinweis

   Konfigurieren Sie Einstellungen basierend auf der App-Registrierung, die Sie zuvor in Ihrem Identitätsanbieter erstellt haben. Wenn Sie Microsoft Entra-ID verwenden, suchen Sie die Client-ID auf der Seite "Übersicht" der App-Registrierung, und suchen Sie die URL-Endpunkte auf der Seite "Übersichtsendpunkte>".

   Einstellung	Beschreibung
   Titel	Geben Sie einen Namen für die Autorisierung ein.
   Beschreibung	Geben Sie optional eine Beschreibung für die Autorisierung ein.
   Sicherheitsschema	Wählen Sie OAuth2 aus.
   Client-ID	Geben Sie die Client-ID (GUID) der App ein, die Sie in Ihrem Identitätsanbieter erstellt haben.
   Geheimer Clientschlüssel	Klicken Sie auf "Auswählen" und wählen Sie das von Ihnen gespeicherte Abonnement, den Key Vault und den Secret des Clients aus. Beispiel: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>
   Autorisierungs-URL	Geben Sie den OAuth 2.0-Autorisierungsendpunkt für den Identitätsanbieter ein. Beispiel für Microsoft Entra-ID: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize
   Token-URL	Geben Sie den OAuth 2.0-Tokenendpunkt für den Identitätsanbieter ein. Beispiel für Microsoft Entra-ID: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   URL aktualisieren	Geben Sie den OAuth 2.0-Tokenaktualisierungsendpunkt für den Identitätsanbieter ein. Identisch mit der Token-URL für die meisten Anbieter Beispiel für Microsoft Entra-ID: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   OAuth2-Flow	Wählen Sie einen oder beide der OAuth 2.0-Flüsse aus, die Sie verwenden möchten. Verfügbare Werte sind Autorisierungscode (PKCE) und Clientanmeldeinformationen.
   Bereiche	Geben Sie einen oder mehrere API-Bereiche ein, die für Ihre API konfiguriert sind, getrennt durch Leerzeichen. Wenn keine Umfänge konfiguriert sind, geben Sie die Zeichenfolge .default ein.

4. Wählen Sie zum Speichern der Konfiguration die Option Erstellen aus.

Hinzufügen der Authentifizierungskonfiguration zu einer API-Version

Fügen Sie nach dem Konfigurieren von Einstellungen für einen API-Schlüssel oder einen OAuth 2.0-Fluss den API-Schlüssel oder die OAuth 2.0-Konfiguration zu einer API-Version im API Center hinzu.

1. Navigieren Sie im Portal zu Ihrem API-Center.
2. Wählen Sie im linken Menü unter Ressourcen die Option APIs aus.
3. Wählen Sie eine API aus, der Sie die Autorisierungskonfiguration zuordnen möchten.
4. Wählen Sie im linken Menü unter "Details" die Option "Versionen" aus.
5. Wählen Sie die API-Version aus, der Sie die Authentifizierungskonfiguration hinzufügen möchten.
6. Wählen Sie im linken Menü unter "Details" die Option "Zugriff verwalten (Vorschau)>+ Authentifizierung hinzufügen" aus.
7. Wählen Sie auf der Seite " Authentifizierung hinzufügen " eine verfügbare Authentifizierungskonfiguration aus, die Sie zuordnen möchten.
8. Wählen Sie "Erstellen" aus.

Hinweis

Sie können einer API-Version mehrere Authentifizierungskonfigurationen hinzufügen. Sie können z. B. sowohl API-Schlüssel- als auch OAuth 2.0-Konfigurationen zur gleichen API-Version hinzufügen, sofern sie von der API unterstützt wird. Ebenso können Sie die gleichen Konfigurationen mehreren API-Versionen hinzufügen.

Verwalten des Zugriffs durch bestimmte Benutzer oder Gruppen

Sie können den Zugriff durch bestimmte Benutzer oder Gruppen in Ihrer Organisation auf die Authentifizierungskonfiguration einer API-Version verwalten. Dazu konfigurieren Sie eine Zugriffsrichtlinie, die Benutzern oder Gruppen die Rolle des API Center-Zugriffsleseberechtigten für Anmeldeinformationen zuweist, die auf bestimmte Authentifizierungskonfigurationen in der API-Version ausgerichtet ist. Dies ist beispielsweise hilfreich, wenn Sie nur bestimmten Benutzern erlauben möchten, eine API im API Center-Portal mit einem API-Schlüssel oder OAuth 2.0-Fluss zu testen.

1. Navigieren Sie im Portal zu Ihrem API-Center.

2. Navigieren Sie zu einer API-Version, der Sie eine Authentifizierungskonfiguration hinzugefügt haben (siehe vorheriger Abschnitt).

3. Wählen Sie im linken Menü unter "Details" die Option "Access verwalten" (Vorschau) aus.

4. Wählen Sie das Dropdownmenü "Zugriffsrichtlinien bearbeiten" am Ende der Zeile für die Authentifizierungskonfiguration aus, deren Zugriff Sie verwalten möchten.

5. Wählen Sie auf der Seite "Zugriff verwalten" die Option "Benutzer hinzufügen" oder "Gruppen hinzufügen >" >aus.

6. Suchen Und wählen Sie die Benutzer (oder Gruppen) aus, die Sie hinzufügen möchten. Sie können mehrere Elemente auswählen.

7. Klicke auf Auswählen.

Tipp

Sie können auch Benutzer oder Gruppen aus der Zugriffsrichtlinie entfernen. Wählen Sie auf der Seite " Zugriff verwalten " die Option "Löschen " im Kontextmenü für den Benutzer oder die Gruppe aus.

Testen der API im API Center-Portal

Sie können das API Center-Portal verwenden, um eine API zu testen, die Sie für die Authentifizierung und den Benutzerzugriff konfiguriert haben.

Tipp

Zusätzlich dazu, dass bestimmte Benutzer bestimmte APIs im API Center-Portal testen können, können Sie Sichtbarkeitseinstellungen für APIs konfigurieren. Die Sichtbarkeitseinstellungen im Portal steuern die APIs, die für alle angemeldeten Benutzer angezeigt werden.

1. Navigieren Sie im Portal zu Ihrem API-Center.

2. Wählen Sie im linken Menü unter "API Center Portal" die Option "Portaleinstellungen" aus.

3. Wählen Sie das API Center-Portal anzeigen aus.

4. Wählen Sie im API Center-Portal eine API aus, die Sie testen möchten.

5. Wählen Sie eine Version der API aus, für die eine Authentifizierungsmethode konfiguriert ist.

6. Wählen Sie unter "Optionen" die Option "Dokumentation anzeigen" aus.

7. Wählen Sie einen Vorgang in der API aus, und wählen Sie "Diese API testen" aus.

8. Überprüfen Sie im daraufhin geöffneten Fenster die Authentifizierungseinstellungen. Wenn Sie Zugriff auf die API haben, wählen Sie "Senden" aus, um die API zu testen.

9. Wenn der Vorgang erfolgreich ist, wird der 200 OK Antwortcode und der Antworttext angezeigt. Wenn der Vorgang fehlschlägt, wird eine Fehlermeldung angezeigt.

Verwandte Inhalte

• Einrichten des API Center-Portals
• Aktivieren der Azure API Center-Portalansicht in Visual Studio Code
• Authentifizierung und Autorisierung für APIs in Azure API Management