Autoriser des comptes de développeurs à l’aide de Microsoft Entra ID dans Azure API Management

S’applique à : Développeur | Essentiel v2 | Standard | Standard v2 | Premium | Premium v2

Dans cet article, vous allez apprendre à :

• Activez l’accès au portail des développeurs pour les utilisateurs du locataire Microsoft Entra ID de votre organisation ou d’autres locataires Microsoft Entra ID.
• Gérer des groupes d’utilisateurs Microsoft Entra en ajoutant des groupes externes qui contiennent les utilisateurs.

Pour bénéficier d’une vue d’ensemble des options permettant de sécuriser le portail des développeurs, consultez Sécuriser l’accès au portail des développeurs Gestion des API.

Important

• Cet article est mis à jour avec les étapes de configuration d’une application Microsoft Entra à l’aide de la bibliothèque d’authentification Microsoft (MSAL).
• Si vous avez précédemment configuré une application Microsoft Entra pour la connexion utilisateur à l’aide de la bibliothèque d’authentification Azure AD ( ADAL), migrez vers MSAL.

Pour les scénarios impliquant l’ID externe Microsoft afin d’autoriser les identités externes à se connecter au portail des développeurs, consultez Autoriser l’accès au portail des développeurs Gestion des API à l’aide de l’ID externe Microsoft Entra.

Conseil / Astuce

Gestion des API prend désormais en charge l'accès au portail des développeurs pour les utilisateurs de plusieurs annuaires Microsoft Entra ID via une seule inscription d'application et configuration d'identité. Actuellement, cela est pris en charge dans les niveaux Développeur, Standard et Premium.

Prérequis

• Suivez le guide de démarrage rapide Créer une instance du service Gestion des API Azure.

• Importez et publiez une API dans l’instance Gestion des API Azure.

• Si vous avez créé votre instance dans un niveau v2, activez le portail des développeurs. Pour plus d’informations, consultez Tutoriel : Accéder et personnaliser le portail des développeurs.

Accéder à votre instance Gestion des API

1. Dans le portail Azure, recherchez et sélectionnez les services Gestion des API :

   

2. Dans la page des services Gestion des API , sélectionnez votre instance Gestion des API :

   

Activer la connexion utilisateur à l’aide de Microsoft Entra ID - portail

Pour simplifier la configuration, Gestion des API peut activer automatiquement une application et un fournisseur d’identité Microsoft Entra pour les utilisateurs du portail des développeurs. Vous pouvez également activer manuellement l’application et le fournisseur d’identité Microsoft Entra.

Activer automatiquement une application et un fournisseur d’identité Microsoft Entra

Procédez comme suit pour activer automatiquement l’ID Microsoft Entra dans le portail des développeurs :

1. Dans le menu de gauche de votre instance de Gestion des API, sous Portail des développeurs, sélectionnez Vue d’ensemble du portail.

2. Dans la page Vue d’ensemble du portail, défilez vers le bas jusque Activer la connexion utilisateur avec Microsoft Entra ID.

3. Sélectionnez Activez Microsoft Entra ID.

4. Dans la page Activer Microsoft Entra ID, sélectionnez Activer Microsoft Entra ID.

5. Sélectionnez Fermer.

   

Après avoir activé le fournisseur Microsoft Entra :

• Les utilisateurs de votre locataire Microsoft Entra peuvent se connecter au portail des développeurs à l’aide d’un compte Microsoft Entra.
• Vous pouvez gérer la configuration du fournisseur d’identité Microsoft Entra sur la page Identités du portail>des développeurs dans le portail.
• Mettez éventuellement à jour l’inscription d’application dans Microsoft Entra ID pour prendre en charge plusieurs locataires, comme décrit dans Configurer l’inscription d’application pour plusieurs locataires. Le nom de l’inscription d’application par défaut créée par Gestion des API est identique au nom de l’instance Gestion des API.
• Configurez éventuellement d’autres paramètres de connexion en sélectionnant Identités>Paramètres. Par exemple, vous souhaiterez peut-être rediriger les utilisateurs anonymes vers la page de connexion.
• Republiez le portail des développeurs après toute modification de configuration.

Activer manuellement une application et un fournisseur d’identité Microsoft Entra

Vous pouvez également activer manuellement l’ID Microsoft Entra dans le portail des développeurs en inscrivant une application vous-même dans Microsoft Entra ID et en configurant le fournisseur d’identité pour le portail des développeurs.

1. Dans le menu de gauche de votre instance de Gestion des API, sous Portail des développeurs, sélectionnez Identités.

2. Sélectionnez + Ajouter en haut pour ouvrir le volet Ajouter un fournisseur d’identité à droite.

3. Sous Type, sélectionnez Microsoft Entra ID dans le menu déroulant. Lorsque vous sélectionnez cette option, vous pouvez entrer d’autres informations nécessaires.

   • Dans la liste déroulante Bibliothèque de client, sélectionnez MSAL.
   • Pour ajouter un ID client et une Clé secrète client, consultez les étapes décrites plus loin dans l’article.

4. Enregistrez l’URL de redirection pour plus tard.

   

5. Dans votre navigateur, ouvrez le portail Azure dans un nouvel onglet.

6. Accédez aux inscriptions d’applications pour inscrire une application dans l’ID Microsoft Entra.

7. Sélectionnez Nouvelle inscription. Sur la page Inscrire une application, définissez les valeurs comme suit :

   • Définissez Nom sur un nom explicite tel que portail-développeurs.
   • Définissez les types de comptes pris en charge, effectuez une sélection appropriée pour vos scénarios. Si vous souhaitez autoriser les utilisateurs dans plusieurs locataires Microsoft Entra ID à accéder au portail des développeurs, sélectionnez Comptes dans n’importe quel annuaire organisationnel (multilocataire).
   • Dans URI de redirection, sélectionnez Application monopage (SPA) et collez l’URL de redirection que vous avez enregistrée lors d’une étape précédente.
   • Sélectionnez Inscription.

8. Après avoir inscrit l’application, copiez l’ID d’application (client) à partir de la page Vue d’ensemble .

9. Basculez sur l’onglet de navigateur avec votre instance Gestion des API.

10. Dans la fenêtre Ajouter le fournisseur d’identité, collez la valeur de l’ID (client) d’application dans la zone ID client.

11. Basculez vers l’onglet du navigateur avec l’enregistrement de l’application.

12. Sélectionnez l’inscription d’application appropriée.

13. Sous la section Gérer du menu latéral, sélectionnez Certificats et secrets.

14. Dans la page Certificats et secrets, sélectionnez le bouton Nouvelle clé secrète client sous Clés secrètes client.

    • Entrez une Description.
    • Sélectionnez une option pour Date d’expiration.
    • Choisissez Ajouter.

15. Copiez la valeur du secret du client avant de quitter la page. Vous en aurez besoin dans une étape ultérieure.

16. Sous Gérer dans le menu latéral, sélectionnez Configuration du jeton>+ Ajouter une revendication facultative.

    1. Dans Type de jeton, sélectionnez ID.
    2. Sélectionnez (cochez) les revendications suivantes : email, family_name, given_name.
    3. Sélectionnez Ajouter. Si vous y êtes invité, sélectionnez Activer l’e-mail Microsoft Graph, autorisation de profil.

17. Basculez sur l’onglet de navigateur avec votre instance Gestion des API.

18. Collez le secret dans le champ Clé secrète client dans le volet Ajouter un fournisseur d’identité.

    Important

    Mettez à jour la clé secrète client avant l’expiration de la clé.

19. Dans Locataire de connexion, spécifiez un nom de locataire ou un ID à utiliser pour la connexion à Microsoft Entra. Si vous ne spécifiez pas de valeur, le point de terminaison commun est utilisé.

20. Dans les locataires autorisés, ajoutez un ou plusieurs noms de locataires ou ID de locataire Microsoft Entra spécifiques pour la connexion à Microsoft Entra.

    Notes

    Si vous spécifiez des locataires supplémentaires, l’inscription de l’application doit être configurée pour prendre en charge plusieurs locataires. Pour plus d’informations, consultez Configurer l’inscription d’application pour plusieurs locataires.

21. Après avoir spécifié la configuration désirée, sélectionnez Ajouter.

22. Republiez le portail des développeurs pour que la configuration Microsoft Entra prenne effet. Dans le menu de gauche, sous Portail des développeurs, sélectionnez Vue d’ensemble du portail>Publier.

Après avoir activé le fournisseur Microsoft Entra :

• Les utilisateurs du ou des locataires Microsoft Entra spécifiés peuvent se connecter au portail des développeurs à l’aide d’un compte Microsoft Entra.
• Vous pouvez gérer la configuration Microsoft Entra dans la page Portail des développeurs>Identités du portail.
• Configurez éventuellement d’autres paramètres de connexion en sélectionnant Identités>Paramètres. Par exemple, vous souhaiterez peut-être rediriger les utilisateurs anonymes vers la page de connexion.
• Republiez le portail des développeurs après toute modification de configuration.

Migration vers MSAL

Si vous avez précédemment configuré une application Microsoft Entra pour la connexion utilisateur à l’aide d’ADAL, vous pouvez utiliser le portail pour migrer l’application vers MSAL et mettre à jour le fournisseur d’identité dans Gestion des API.

Mettre à jour l’application Microsoft Entra pour une compatibilité MSAL

Pour connaître les étapes, consultez Basculer les URI de redirection vers le type d’application monopage.

Mettre à jour la configuration du fournisseur d’identité

1. Dans le menu de gauche de votre instance de Gestion des API, sous Portail des développeurs, sélectionnez Identités.
2. Sélectionnez Microsoft Entra ID dans la liste.
3. Dans la liste déroulante Bibliothèque de client, sélectionnez MSAL.
4. Sélectionnez Mettre à jour.
5. Republiez votre portail des développeurs.

Configurer l’accès pour les utilisateurs dans plusieurs clients Microsoft Entra

Notes

La prise en charge de l’accès au portail des développeurs par les utilisateurs de plusieurs locataires Microsoft Entra ID est actuellement disponible dans les niveaux Développeur gestion des API, Standard et Premium.

Vous pouvez activer l’accès au portail des développeurs par les utilisateurs depuis plusieurs clients Microsoft Entra ID. Pour ce faire :

• Configurez l’inscription d’application pour plusieurs locataires.
• Mettez à jour la configuration du fournisseur d’identité Microsoft Entra ID pour le portail des développeurs afin d’ajouter un autre locataire.

Configurer l’inscription d’application pour plusieurs locataires

L’inscription d’application que vous configurez pour le fournisseur d’identité doit prendre en charge plusieurs locataires. Vous pouvez effectuer cette opération de l’une des manières suivantes :

• Lors de la création de l’inscription de l’application, définissez les types de comptes pris en charge sur Comptes dans n’importe quel annuaire organisationnel (tout client Microsoft Entra ID - Multilocataire).
• Si vous avez précédemment configuré une inscription d’application pour un seul locataire, mettez à jour le paramètre Types de comptes pris en charge dans la page Gérer>l’authentification de l’inscription de l’application.

Mettre à jour la configuration du fournisseur d’identité d’ID Microsoft Entra pour plusieurs locataires

Mettez à jour la configuration du fournisseur d’identité pour ajouter un autre locataire :

1. Dans le portail Azure, accédez à votre instance de gestion des API.
2. Sous le portail des développeurs, sélectionnez Identités.
3. Sélectionnez Microsoft Entra ID dans la liste.
4. Dans le champ ID de locataire , ajoutez les ID de locataire supplémentaires séparés par des virgules.
5. Mettez à jour la valeur du locataire Signin vers l’un des locataires configurés.
6. Sélectionnez Mettre à jour.
7. Republiez votre portail des développeurs.

Ajouter un groupe Microsoft Entra externe

Après avoir activé l’accès pour les utilisateurs d’un locataire Microsoft Entra, vous pouvez :

• Ajouter des groupes Microsoft Entra dans Gestion des API. Vous devez ajouter des groupes dans le locataire où vous avez déployé votre instance Gestion des API.
• Contrôler la visibilité des produits à l’aide de groupes Microsoft Entra.

1. Accédez à la page Inscription d’application pour l’application que vous avez inscrite dans la section précédente.
2. Sélectionnez Autorisations de l’API.
3. Ajoutez les autorisations minimales d’application suivantes pour Microsoft API Graph :
   • User.Read.All autorisation d’application : gestion des API peut donc lire l’appartenance au groupe de l’utilisateur pour effectuer la synchronisation de groupe lorsque l’utilisateur se connecte.
   • Group.Read.All autorisation d’application : gestion des API peut donc lire les groupes Microsoft Entra lorsqu’un administrateur tente d’ajouter le groupe à Gestion des API à l’aide du panneau Groupes dans le portail.
4. Sélectionnez Accorder le consentement administrateur pour {tenantname} pour accorder l’accès à tous les utilisateurs de cet annuaire.

Vous pouvez maintenant ajouter des groupes Microsoft Entra externes à partir de l’onglet Groupes de votre instance Gestion des API.

1. Sous Portail des développeurs dans le menu latéral, sélectionnez Groupes.

2. Sélectionnez le bouton Ajouter un groupe Microsoft Entra.

   

3. Sélectionnez le locataire dans la liste déroulante.

4. Recherchez et sélectionnez le groupe que vous voulez ajouter.

5. Appuyez sur le bouton Sélectionner.

Après avoir ajouté un groupe Microsoft Entra externe, vous pouvez passer en revue et configurer ses propriétés :

1. Sélectionnez le nom du groupe sous l’onglet Groupes.
2. Modifiez les informations Nom et Description du groupe.

Les utilisateurs de l’instance Microsoft Entra configurée peuvent désormais :

• Connectez-vous au portail des développeurs.
• Voir tous les groupes pour lesquels ils disposent d’une visibilité et s’y abonner.

Notes

Pour en savoir plus sur la différence entre les types d’autorisations déléguées et de permissions d’application, consultez l’article Autorisations et consentement dans la plateforme d’identités Microsoft.

Synchroniser des groupes Microsoft Entra dans Gestion des API

Les groupes que vous configurez dans Microsoft Entra doivent être synchronisés avec gestion des API afin de pouvoir les ajouter à votre instance. Si les groupes ne se synchronisent pas automatiquement, effectuez l’une des étapes suivantes pour synchroniser manuellement les informations de groupe :

• Déconnectez-vous et connectez-vous à Microsoft Entra ID. Cette activité déclenche généralement la synchronisation des groupes.
• Vérifiez que le locataire de connexion Microsoft Entra est spécifié de la même façon (en utilisant l’ID de locataire ou le nom de domaine) dans vos paramètres de configuration de Gestion des API. Vous spécifiez le locataire de connexion dans le fournisseur d’identité Microsoft Entra ID pour le portail des développeurs et quand vous ajoutez un groupe Microsoft Entra à Gestion des API.

Portail des développeurs : Ajouter une authentification de compte Microsoft Entra

Dans le portail des développeurs, vous pouvez activer la connexion avec l’ID Microsoft Entra à l’aide du bouton de connexion : widget OAuth inclus dans la page de connexion du contenu du portail des développeurs par défaut.

Un utilisateur peut ensuite se connecter avec l’ID Microsoft Entra comme suit :

1. Accédez au portail des développeurs. Sélectionnez Se connecter.

2. Dans la page Connexion , sélectionnez Microsoft Entra ID. Si vous sélectionnez ce bouton, la page de connexion à Microsoft Entra ID s’ouvre.

   

   Conseil / Astuce

   Si plusieurs locataires sont configurés pour l’accès, plusieurs boutons Microsoft Entra ID s’affichent sur la page de connexion. Chaque bouton est étiqueté avec le nom du locataire.

3. Dans la fenêtre de connexion de votre client Microsoft Entra, répondez aux demandes. Une fois la connexion terminée, l’utilisateur est redirigé vers le portail des développeurs.

L’utilisateur est maintenant connecté au portail des développeurs et a été ajouté en tant qu'identité d'utilisateur pour la gestion des API dans Utilisateurs.

Bien qu’un nouveau compte soit créé automatiquement lorsqu’un nouvel utilisateur se connecte avec l’ID Microsoft Entra, envisagez d’ajouter le même widget à la page d’inscription. Le widget Formulaire d’inscription : OAuth représente un formulaire utilisé pour s’inscrire à l’aide d’OAuth.

Important

Vous devez republier le portail pour que les modifications apportées à Microsoft Entra ID prennent effet.

Contenu connexe

• En savoir plus sur Microsoft Entra ID et OAuth2.0.
• En savoir plus sur MSAL et la migration vers MSAL.
• Résoudre les problèmes de connectivité réseau à Microsoft Graph à partir d’un VNet.