Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A KÖVETKEZŐRE VONATKOZIK: Minden API-kezelési szint
A háttérbeli API-khoz való hozzáférés kezeléséhez az API Management-példány tartalmaz egy hitelesítőadat-kezelőt. A hitelesítő adatok kezelőjével kezelheti, tárolhatja és szabályozhatja az API-hitelesítő adatokhoz való hozzáférést az API Management-példányból.
Megjegyzés
- Jelenleg a hitelesítő adatok kezelőjével konfigurálhatja és kezelheti a háttérbeli OAuth 2.0 API-k kapcsolatait (korábbi nevén engedélyezéseket).
- A hitelesítő adatok kezelője nem vezet be kompatibilitástörő módosításokat. Az OAuth 2.0 hitelesítőadat-szolgáltatók és kapcsolatok a meglévő API Management engedélyezési API-kat és erőforrás-szolgáltatót használják.
Megjegyzés
Ez a funkció jelenleg nem érhető el a munkaterületeken.
Felügyelt kapcsolatok OAuth 2.0 API-khoz
A hitelesítőadat-kezelővel jelentősen leegyszerűsítheti a felhasználók, csoportok és szolgáltatásnevek hitelesítésének és engedélyezésének folyamatát egy vagy több, OAuth 2.0-t használó háttér- vagy SaaS-szolgáltatásban. Az API Management hitelesítőadat-kezelőjével egyszerűen konfigurálhatja az OAuth 2.0-t, jóváhagyhatja, jogkivonatokat szerezhet be, gyorsítótár-jogkivonatokat tárolhat egy hitelesítőadat-tárolóban, és egyetlen kódsor írása nélkül frissítheti a jogkivonatokat. Hozzáférési szabályzatok használatával delegálhat hitelesítést az API Management-példányra, szolgáltatásnevekre, felhasználókra vagy csoportokra. Az OAuth 2.0-s verzióval kapcsolatos háttérért lásd: Microsoft Identitásplatform és OAuth 2.0 engedélyezési kódfolyamat.
Ez a funkció lehetővé teszi az API-k előfizetési kulccsal vagy anélkül történő elérhetővé tételét, a háttérszolgáltatások OAuth 2.0-s hitelesítéseinek használatát, valamint a biztonsági funkciók szolgáltatásintegrációkkal való növelésével, implementálásával és fenntartásával járó fejlesztési költségek csökkentését.
Példák az alkalmazási helyzetekre
Az API Managementben felügyelt OAuth-kapcsolatok használatával az ügyfelek egyszerűen csatlakozhatnak az OAuth 2.0-t használó SaaS-szolgáltatókhoz vagy háttérszolgáltatásokhoz. Íme néhány példa:
A tárolt engedélyezési jogkivonat és proxykérések csatolásával egyszerűen csatlakozhat saaS-háttérrendszerhez.
Proxykérések Azure App Service webalkalmazáshoz vagy Azure Functions háttérrendszerhez az engedélyezési jogkivonat csatolásával, amely később átalakítási logikát alkalmazó SaaS-háttérrendszerbe küldhet kéréseket.
Proxykérések a GraphQL összevonási háttérrendszereihez több hozzáférési jogkivonat csatolásával az összevonás egyszerű végrehajtásához.
Jogkivonat-végpont közzététele, gyorsítótárból származó jogkivonat beszerzése és SaaS-háttérrendszer meghívása a felhasználó nevében bármely számítási környezetből; például egy konzolalkalmazás vagy a Kubernetes-démon. A kedvenc SaaS SDK-t egy támogatott nyelven kombinálhatja.
Azure Functions felügyelet nélküli forgatókönyvek több SaaS-háttérrendszerhez való csatlakozás esetén.
Durable Functions egy lépéssel közelebb kerül a Logic Appshez SaaS-kapcsolattal.
OAuth 2.0-kapcsolatok esetén az API Management minden API-ja egyéni Logic Apps-összekötőként működhet.
Hogyan működik a hitelesítőadat-kezelő?
A hitelesítőadat-kezelő token hitelesítő adatai két részből állnak: a felügyeletből és a futtatókörnyezetből.
A hitelesítő adatok kezelőjének felügyeleti része gondoskodik az OAuth 2.0-jogkivonatok hitelesítőadat-szolgáltatójának beállításáról és konfigurálásáról, lehetővé téve az identitásszolgáltató hozzájárulási folyamatát, és beállít egy vagy több kapcsolatot a hitelesítőadat-szolgáltatóval a hitelesítő adatokhoz való hozzáféréshez. További részletekért lásd : Kapcsolatok kezelése.
A futtatókörnyezeti modul a
get-authorization-contextpolitikát használja a kapcsolat hozzáférési és frissítési jogkivonatainak lekérésére és tárolására. Amikor egy hívás bekerül az API Managementbe, és aget-authorization-contextszabályzat végrehajtása megtörténik, először ellenőrzi, hogy a meglévő engedélyezési jogkivonat érvényes-e. Ha az engedélyezési jogkivonat lejárt, az API Management egy OAuth 2.0-s folyamatot használ a tárolt jogkivonatok frissítéséhez az identitásszolgáltatótól. Ezután a hozzáférési jogkivonat a háttérszolgáltatáshoz való hozzáférés engedélyezésére szolgál. További részletekért lásd a kapcsolatok futási idejét.
Mikor érdemes hitelesítőadat-kezelőt használni?
Az alábbiakban három forgatókönyvet talál a hitelesítő adatok kezelőjének használatára.
Konfigurációs forgatókönyv
A hitelesítőadat-szolgáltató és a kapcsolat konfigurálása után az API-kezelő tesztelheti a kapcsolatot. Az API-kezelő konfigurál egy teszt háttérbeli OAuth API-t a get-authorization-context szabályzat használatára a példány felügyelt identitásával. Az API-kezelő ezután a teszt API meghívásával tesztelheti a kapcsolatot.
Felügyelet nélküli forgatókönyv
A kapcsolat létrehozásakor alapértelmezés szerint a rendszer előre konfigurál egy hozzáférési szabályzatot és kapcsolatot az API Management-példány felügyelt identitásához. Egy ilyen kapcsolat használatához a különböző felhasználók bejelentkezhetnek egy ügyfélalkalmazásba, például egy statikus webalkalmazásba, amely ezután meghív egy API Managementen keresztül közzétett háttér API-t. A hívás kezdeményezéséhez a get-authorization-context házirend használatával alkalmazzuk a kapcsolatokat. Mivel az API-hívás olyan előre konfigurált kapcsolatot használ, amely nem kapcsolódik a felhasználói környezethez, a rendszer ugyanazokat az adatokat adja vissza az összes felhasználónak.
Részt vett (felhasználó által delegált) forgatókönyv
Ha egyszerűsített hitelesítési élményt szeretne biztosítani az olyan ügyfélalkalmazások (például statikus webalkalmazások) felhasználói számára, amelyek felhasználói környezetet igénylő háttérbeli SaaS API-kat hívnak meg, engedélyezheti a hozzáférést egy Microsoft Entra felhasználó vagy csoport identitása nevében. Ebben az esetben egy konfigurált felhasználónak csak egyszer kell bejelentkeznie, és hozzájárulást kell adnia, és ezt követően az API Management-példány létrehozza és kezeli a kapcsolatot. Amikor az API Management egy külső szolgáltatásnak továbbítandó bejövő hívást kap, csatolja a hozzáférési jogkivonatot a kapcsolatról a kéréshez. Ez akkor ideális, ha az API-kérések és a válaszok egy adott személyre irányulnak (például felhasználóspecifikus profiladatok lekérése).
Hogyan konfigurálható a hitelesítőadat-kezelő?
Követelmények
Az API Management-példányhoz engedélyezni kell a felügyelt rendszer által hozzárendelt identitást.
Az API Management-példánynak kimenő internetkapcsolattal kell rendelkeznie a 443-es porton (HTTPS).
Elérhetőség
Az ÖSSZES API Management szolgáltatásszint
A saját üzemeltetésű átjáróban nem támogatott.
Nem támogatott szuverén felhőszolgáltatásokban vagy a következő régiókban: ausztrália közép, ausztrália közép2, india közép
Részletes példák
- Konfigurációs hitelesítőadat-kezelő – GitHub API
- Konfigurálási hitelesítő adatok kezelője – Microsoft Graph API
- Hitelesítőadat-kezelő konfigurálása – felhasználó által delegált hozzáférés a háttér API-hoz
Biztonsági szempontok
A hozzáférési jogkivonat és más titkos kódok (például ügyféltitkok) borítéktitkosítással vannak titkosítva, és egy belső, több-bérlős tárolóban vannak tárolva. Az adatok titkosítva vannak az AES-128-zal egy adatonként egyedi kulccsal. Ezek a kulcsok aszimmetrikusan vannak titkosítva egy Azure Key Vault tárolt főtanúsítvánnyal, és havonta rotáltak.
Korlátok
| Erőforrás | Korlát |
|---|---|
| Hitelesítőadat-szolgáltatók maximális száma szolgáltatáspéldányonként | 1000 |
| A kapcsolatok maximális száma hitelesítőadat-szolgáltatónként | 10,000. |
| Hozzáférési szabályzatok maximális száma kapcsolatonként | 100 |
| Az engedélyezési kérelmek maximális száma percenként kapcsolatonként | 250 |
Gyakori kérdések (GYIK)
Mikor frissülnek a hozzáférési jogkivonatok?
Típusengedélyezési kód típusú kapcsolat esetén a hozzáférési jogkivonatok az alábbiak szerint frissülnek:
A szabályzat futásidőben történő végrehajtásakor az get-authorization-context API Management ellenőrzi, hogy a tárolt hozzáférési jogkivonat érvényes-e. Ha a jogkivonat lejárt vagy hamarosan lejár, az API Management a frissítési jogkivonat használatával lekéri az új hozzáférési jogkivonatot és egy új frissítési jogkivonatot a konfigurált identitásszolgáltatótól. Ha a frissítési jogkivonat lejárt, hibaüzenet jelenik meg, és a kapcsolatot újra létre kell adni, mielőtt működni fog.
Mi történik, ha az ügyfél titkos kódja lejár az identitásszolgáltatónál?
Futásidőben az API Management nem tud új jogkivonatokat beolvasni, és hiba történik.
Ha a kapcsolat típusengedélyezési kódból áll, az ügyfél titkos kódját frissíteni kell a hitelesítőadat-szolgáltató szintjén.
Ha a kapcsolat ügyfél-hitelesítő adatok típusú, az ügyfél titkos kódját frissíteni kell a kapcsolat szintjén.
Ez a funkció támogatott egy virtuális hálózaton futó API Management használatával?
A token kéréseknek ki kell lépniük az ügyfél hálózatán kívülre, a hitelesítő-adatkezelő végpontjára, amely egy Microsoft hálózaton marad. Ha az API Management-példány egy virtuális hálózaton belül fut, a hitelesítő adatok kezelője akkor támogatott, ha a 443-as port kimenő kapcsolatai engedélyezve vannak az AzureConnectors szolgáltatás címkéjéhez. További információ: Virtuális hálózat konfigurációs referencia.
Mi történik egy hitelesítőadat-szolgáltató törlésekor?
Az összes mögöttes kapcsolat és hozzáférési szabályzat is törlődik.
Az API Management gyorsítótárazza a hozzáférési tokeneket?
A klasszikus és v2-es szolgáltatási szinteken az API Management-példány addig gyorsítótárazza a hozzáférési jogkivonatot, amíg a lejárati időhöz képest három perc van hátra. Ha a hozzáférési jogkivonat kevesebb mint három percnyire van a lejárattól, a gyorsítótárazott idő a hozzáférési jogkivonat lejáratáig tart.
A hozzáférési jogkivonatok nincsenek gyorsítótárazva a Fogyasztási szinten.
Kapcsolódó tartalom
- Hitelesítőadat-szolgáltatók konfigurálása kapcsolatokhoz
- Konfiguráljon és használjon kapcsolatot a Microsoft Graph API vagy a GitHub API
- Kapcsolat konfigurálása felhasználó által delegált hozzáféréshez
- Több kapcsolat konfigurálása hitelesítőadat-szolgáltatóhoz