Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
S’applique à : Développeur | Essentiel | Essentiel v2 | Standard | Standard v2 | Premium | Premium v2
Le service Gestion des API possède également un portail des développeurs autonome et entièrement personnalisable, qui peut être utilisé en externe (ou en interne) pour permettre à des développeurs de découvrir et d’interagir avec les API publiées via le service Gestion des API. Le portail des développeurs offre plusieurs options pour faciliter l’inscription et la connexion sécurisées des utilisateurs.
Remarque
Par défaut, le portail des développeurs active un accès anonyme. Ce paramètre par défaut signifie que tout le monde peut afficher le portail et le contenu tels que les API sans se connecter, bien que les fonctionnalités telles que l’utilisation de la console de test soient restreintes. Vous pouvez activer un paramètre qui oblige les utilisateurs à se connecter pour afficher le portail des développeurs. Dans le portail Azure, dans le menu de gauche de votre instance de Gestion des API, sous Portail des développeurs, sélectionnez Identités>Paramètres. Sous Utilisateurs anonymes, sélectionnez (activer) Rediriger les utilisateurs anonymes vers la page de connexion.
Options d’authentification
Utilisateurs externes : pour activer l’accès au portail des développeurs pour les utilisateurs externes, utilisez des fournisseurs d’identité externes activés via l’ID externe Microsoft Entra.
- Par exemple, vous souhaitez que les utilisateurs accèdent au portail des développeurs à l’aide de comptes de réseaux sociaux existants.
- Le service fournit des fonctionnalités permettant l’inscription et l’expérience de connexion de l’utilisateur final.
Actuellement, Gestion des API prend en charge les fournisseurs d’identité externes lorsqu’ils sont configurés dans votre locataire microsoft Entra ID, et non dans un locataire externe. Pour plus d’informations, consultez Comment autoriser les comptes de développeur à l’aide de l’ID externe Microsoft Entra.
Remarque
La gestion des API offre un support hérité pour Azure Active Directory B2C comme fournisseur d’identité externe. Toutefois, nous vous recommandons d’utiliser Microsoft Entra External ID en tant que fournisseur d’identité externe au lieu d’Azure Active Directory B2C pour les nouveaux déploiements du portail des développeurs Gestion des API.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Utilisateurs internes : pour activer l’accès au portail des développeurs pour les utilisateurs internes, utilisez votre locataire Microsoft Entra ID d’entreprise (main-d’œuvre). Microsoft Entra ID offre une expérience d’authentification unique (SSO) fluide pour les utilisateurs d’entreprise qui doivent accéder aux API et les découvrir en utilisant le portail des développeurs.
Pour connaître les étapes d’activation de l’authentification Microsoft Entra dans le portail des développeurs, consultez Comment autoriser des comptes de développeur avec Microsoft Entra ID dans Gestion des API Azure.
Authentification de base : utilisez le fournisseur de nom d’utilisateur et de mot de passe intégré du portail des développeurs. Cette option permet aux développeurs de s’inscrire directement dans Gestion des API et de se connecter à l’aide de comptes d’utilisateur Gestion des API. L’inscription de l’utilisateur via cette option est protégée par un service CAPTCHA.
Attention
Bien que vous puissiez utiliser l’authentification de base pour sécuriser l’accès des utilisateurs au portail des développeurs, nous vous recommandons de configurer une méthode d’authentification plus sécurisée telle que l’ID Microsoft Entra.
Console de test du portail des développeurs
En plus de fournir une configuration permettant aux développeurs de s’inscrire pour l’accès et se connecter, le portail des développeurs inclut une console de test où les développeurs peuvent envoyer des demandes de test aux API back-end via le service Gestion des API. Cette capacité de test existe également pour les contributeurs du service Gestion des API qui gèrent le service à l’aide du portail Azure.
Si vous sécurisez l’API exposée via Gestion des API Azure avec OAuth 2.0 , autrement dit, une application appelante (porteur) doit obtenir et transmettre un jeton d’accès valide. Vous pouvez configurer Gestion des API pour générer un jeton valide pour le compte d’un utilisateur de console de test du portail Azure ou du portail des développeurs. Pour plus d’informations, consultez Comment autoriser la console de test du portail des développeurs en configurant une autorisation utilisateur OAuth 2.0.
Pour permettre à la console de test d’acquérir un jeton OAuth 2.0 valide pour les tests d’API :
Ajoutez un serveur d’autorisation utilisateur OAuth 2.0 à votre instance. Vous pouvez utiliser n’importe quel fournisseur OAuth 2.0, notamment Microsoft Entra ID, Microsoft Entra External ID ou un fournisseur d’identité tiers.
Configurez l’API avec les paramètres de ce serveur d’autorisation. Dans le portail, configurez l’autorisation OAuth 2.0 sur la page de Paramètres de l’API >Sécurité>Autorisation utilisateur.
Cette configuration d’OAuth 2.0 pour les tests d’API est indépendante de la configuration requise pour l’accès utilisateur au portail des développeurs. Toutefois, le fournisseur d’identité et l’utilisateur peuvent être identiques. Par exemple, une application intranet peut nécessiter l’accès utilisateur au portail des développeurs à l’aide de l’authentification unique avec leur identité d’entreprise. La même identité d’entreprise pourrait obtenir un jeton, via la console de test, pour le service de back-end appelé avec le même contexte d’utilisateur.
Scénarios
Différentes options d’authentification et d’autorisation s’appliquent à différents scénarios. Les sections suivantes explorent des configurations de haut niveau pour trois exemples de scénarios. Vous devez prendre davantage de mesures pour sécuriser et configurer des API exposées via Gestion des API. Toutefois, les scénarios se concentrent intentionnellement sur les configurations minimales recommandées dans chaque cas pour fournir l’authentification et l’autorisation requises.
Scénario 1 - API et applications intranet
- Un contributeur gestion des API et un développeur d’API back-end souhaitent publier une API sécurisée par OAuth 2.0.
- L’API est consommée par les applications de bureau dont les utilisateurs se connectent à l’aide de l’authentification unique via l’ID Microsoft Entra.
- Les développeurs d’applications de bureau doivent découvrir et tester les API via le portail des développeurs Gestion des API.
Configurations des clés :
| Paramétrage | Référence |
|---|---|
| Autoriser les utilisateurs des développeurs du portail des développeurs Gestion des API à l’aide de leurs identités d’entreprise et de Microsoft Entra ID. | Autoriser des comptes de développeurs à l’aide de Microsoft Entra ID dans Azure API Management |
| Configurez la console de test dans le portail des développeurs pour obtenir un jeton OAuth 2.0 valide pour les développeurs d’applications de bureau en vue d’exercer l’API back-end. La même configuration peut être utilisée pour la console de test dans le portail Azure, qui est accessible aux contributeurs du service Gestion des API et aux développeurs d’API back-end. Le jeton peut être utilisé en combinaison avec une clé d’abonnement Gestion des API. |
Comment autoriser la console de test du portail des développeurs en configurant l’autorisation utilisateur OAuth 2.0 Abonnements dans Gestion des API Azure |
| Validez le jeton et les revendications OAuth 2.0 quand une API est appelée via le service Gestion des API avec un jeton d’accès. | Valider la stratégie JWT |
Allez plus loin avec ce scénario en déplaçant le service Gestion des API dans le périmètre réseau et en contrôlant l’entrée via un proxy inverse. Pour voir une architecture de référence, consultez Protéger les API avec Application Gateway et le service Gestion des API.
Scénario 2 - API externe, application de partenaire
- Un contributeur gestion des API et un développeur d’API back-end souhaitent créer rapidement une preuve de concept pour exposer une API héritée via Gestion des API Azure. L’API via gestion des API est accessible en externe (Internet).
- L’API utilise l’authentification par certificat client et est consommée par une nouvelle application monopage (SPA) publique développée à l'étranger par un partenaire.
- L’application monopage (SPA) utilise OAuth 2.0 avec OpenID Connect (OIDC).
- Les développeurs d’applications accèdent à l’API dans un environnement de test via le portail des développeurs, à l’aide d’un point de terminaison principal de test pour accélérer le développement frontal.
Configurations des clés :
| Paramétrage | Référence |
|---|---|
| Configurez l’accès du développeur front-end au portail des développeurs à l’aide du nom d’utilisateur et de l’authentification par mot de passe par défaut. Des développeurs peuvent également être invités au portail des développeurs. |
Configurer les utilisateurs du portail des développeurs pour s’authentifier à l’aide de noms d’utilisateur et de mots de passe Gestion des comptes d’utilisateur dans Gestion des API Azure |
| Validez le jeton et les revendications OAuth 2.0 quand l’application monopage (SPA) appelle le service Gestion des API avec un jeton d’accès. Dans ce cas, le public est le service Gestion des API. | Valider la stratégie JWT |
| Configurez le service Gestion des API pour utiliser l’authentification par certificat client auprès de l’API back-end. | Sécuriser les services principaux à l’aide d’une authentification par certificat client dans Gestion des API Azure |
Pour poursuivre ce scénario, utilisez le portail des développeurs avec l’autorisation Microsoft Entra et Microsoft Entra B2B Collaboration pour permettre aux partenaires de livraison de collaborer plus étroitement. Envisagez de déléguer l’accès à Gestion des API via RBAC dans un environnement de développement ou de test et activez l’authentification unique dans le portail des développeurs à l’aide de leurs propres informations d’identification d’entreprise.
Scénario 3 - API externe, SaaS, ouvert au public
Un contributeur gestion des API et un développeur d’API back-end écrivent plusieurs nouvelles API que les développeurs de la communauté peuvent utiliser.
Les API sont disponibles publiquement, mais toutes les fonctionnalités sont protégées derrière un paywall et sécurisées à l’aide d’OAuth 2.0. Après avoir acheté une licence, le développeur obtient ses propres informations d’identification client et clé d’abonnement valides pour une utilisation en production.
Les développeurs de la communauté externe découvrent les API à l’aide du portail des développeurs. Les développeurs s’inscrivent et se connectent au portail des développeurs à l’aide de leurs comptes de réseaux sociaux.
Des utilisateurs intéressés du portail des développeurs disposant d’une clé d’abonnement de test pourront explorer la fonctionnalité de l’API dans un contexte de test, sans avoir à acheter de licence. La console de test du portail des développeurs représente l’application appelante et génère un jeton d’accès par défaut à l’API back-end.
Attention
Une attention particulière est requise lors de l’utilisation d’un flux d’informations d’identification de client avec la console de test du portail du développeur. Voir Considérations relatives à la sécurité.
Configurations des clés :
| Paramétrage | Référence |
|---|---|
| Configurez des produits dans Gestion des API Azure pour représenter les combinaisons d’API que vous exposez aux développeurs de la communauté. Configurez les abonnements pour permettre aux développeurs d’utiliser les API. |
Tutoriel : Créer et publier un produit Abonnements dans Gestion des API Azure |
| Configurez l’accès des développeurs de la communauté au portail des développeurs à l’aide de l’ID externe Microsoft Entra. Microsoft Entra External ID peut ensuite être configuré pour fonctionner avec un ou plusieurs fournisseurs d’identité de réseaux sociaux en aval. | Comment autoriser des comptes de développeur à l’aide de l’ID externe Microsoft Entra dans Gestion des API Azure |
| Configurez la console de test dans le portail des développeurs pour obtenir un jeton OAuth 2.0 valide à l’API back-end à l’aide du flux d’informations d’identification du client. |
Comment autoriser la console de test du portail des développeurs en configurant l’autorisation utilisateur OAuth 2.0 Ajustez les étapes de configuration décrites dans cet article pour utiliser le flux d’octroi d’informations d’identification de client au lieu du flux d’octroi de code d’autorisation. |
Allez plus loin en délégant l’inscription d’utilisateur ou l’abonnement au produit, et étendez le processus avec votre propre logique.
Contenu connexe
- Apprenez-en davantage sur l’authentification et l’autorisation dans la plateforme d’identités Microsoft.
- Découvrez comment atténuer les menaces de sécurité des API OWASP à l’aide de Gestion des API.