Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Minden API-kezelési szintre vonatkozik
Ez a cikk részletesen ismerteti az OAuth 2.0-kapcsolatoknak az Azure API Management hitelesítőadat-kezelővel történő kezeléséhez szükséges folyamatokat. A folyamatfolyamatok két részből állnak: a felügyeletből és a futtatókörnyezetből.
Az API Management hitelesítő adatainak kezelőjével kapcsolatos háttérért lásd: About credential manager and API credentials in API Management.
Kapcsolatok kezelése
A hitelesítő adatok kezelőjében a kapcsolatok felügyeleti része gondoskodik az OAuth 2.0-jogkivonatok hitelesítőadat-szolgáltatójának beállításáról és konfigurálásáról, lehetővé téve a szolgáltató hozzájárulási folyamatát, és beállít egy vagy több kapcsolatot a hitelesítőadat-szolgáltatóval a hitelesítő adatokhoz való hozzáféréshez.
Az alábbi kép az engedélyezési kód megadásának típusát használó API Management-kapcsolat létrehozásának folyamatát foglalja össze.
| Lépés | Leírás |
|---|---|
| 1 | Az ügyfél kérést küld egy hitelesítőadat-szolgáltató létrehozásához. |
| 2 | Létrejön a hitelesítőadat-szolgáltató, és a rendszer visszaküld egy választ. |
| 3 | Az ügyfél kérést küld egy kapcsolat létrehozásához. |
| 4 | Létrejön a kapcsolat, és a rendszer visszaküldi a választ azzal az információval, hogy a kapcsolat nem "csatlakoztatva" van. |
| 5 | Az ügyfél egy bejelentkezési URL-cím lekérésére irányuló kérést küld az OAuth 2.0 hozzájárulásának a hitelesítőadat-szolgáltatónál való elindításához. A kérés tartalmaz egy átirányítás utáni URL-címet, amelyet az utolsó lépésben kell használni. |
| 6 | A válasz egy bejelentkezési URL-címmel lesz visszaadva, amelyet a hozzájárulási folyamat elindításához kell használni. |
| 7 | Az ügyfél megnyit egy böngészőt az előző lépésben megadott bejelentkezési URL-címmel. A rendszer átirányítja a böngészőt a hitelesítőadat-szolgáltató OAuth 2.0 hozzájárulási folyamatára. |
| 8 | A hozzájárulás jóváhagyása után a rendszer egy engedélyezési kóddal irányítja át a böngészőt a hitelesítőadat-szolgáltatónál konfigurált átirányítási URL-címre. |
| 9 | Az API Management az engedélyezési kód használatával kéri le a hozzáférési és frissítési tokeneket. |
| 10 | Az API Management megkapja a tokeneket, és titkosítja őket. |
| 11 | Az API Management átirányítja a megadott URL-címre az 5. lépésből. |
Hitelesítőadat-szolgáltató
A hitelesítőadat-szolgáltató konfigurálásakor választhat a különböző OAuth-szolgáltatók és az engedélyezési típusok (engedélyezési kód vagy ügyfél-hitelesítő adatok) között. Minden szolgáltatóhoz meghatározott konfigurációk szükségesek. Fontos tudnivalók:
- A hitelesítőadat-szolgáltató konfigurációja csak egy engedélyezési típussal rendelkezhet.
- Egy hitelesítőadat-szolgáltató konfigurációja több kapcsolattal is rendelkezhet.
Megjegyzés
A Generic OAuth 2.0 szolgáltatóval más identitásszolgáltatók is használhatók, amelyek támogatják az OAuth 2.0-folyamat szabványait.
Hitelesítőadat-szolgáltató konfigurálásakor a hitelesítőadat-kezelő létrehoz egy hitelesítőadat-tárolót a háttérben, amely a szolgáltató OAuth 2.0 hozzáférési jogkivonatainak gyorsítótárazására és a jogkivonatok frissítésére szolgál.
Kapcsolat hitelesítőadat-szolgáltatóval
A szolgáltató jogkivonatainak eléréséhez és használatához az ügyfélalkalmazásoknak kapcsolatra van szükségük a hitelesítőadat-szolgáltatóval. Egy adott kapcsolatot a Microsoft Entra ID-identitásokon alapuló hozzáférési szabályzatok engedélyezik. Egy szolgáltatóhoz több kapcsolatot is konfigurálhat.
A kapcsolat konfigurálásának folyamata a konfigurált támogatástól függően eltérő, és a hitelesítőadat-szolgáltató konfigurációjára jellemző. Ha például úgy szeretné konfigurálni a Microsoft Entra-azonosítót, hogy mindkét támogatási típust használja, két hitelesítőadat-szolgáltatói konfigurációra van szükség. Az alábbi táblázat összefoglalja a két támogatási típust.
| Megadás típusa | Leírás |
|---|---|
| Engedélyezési kód | Felhasználói környezethez van kötve, ami azt jelenti, hogy a felhasználónak hozzá kell járulnia a kapcsolathoz. Amíg a frissítési jogkivonat érvényes, az API Management lekérheti az új hozzáférési és frissítési jogkivonatokat. Ha a frissítési jogkivonat érvénytelenné válik, a felhasználónak újra kell engedélyeznie. Minden hitelesítőadat-szolgáltató támogatja az engedélyezési kódot. További információ |
| Ügyfél-hitelesítő adatok | Nem kötődik egy felhasználóhoz, és gyakran használják alkalmazásról alkalmazásra forgatókönyvekben. Az ügyfél hitelesítő adatainak megadásához nincs szükség hozzájárulásra, és a kapcsolat nem válik érvénytelenné. További információ |
Beleegyezés
Az engedélyezési kód megadásának típusán alapuló kapcsolatok esetében hitelesítenie kell a szolgáltatót, és engedélyeznie kell az engedélyezést. A hitelesítőadat-szolgáltató sikeres bejelentkezése és engedélyezése után a szolgáltató érvényes hozzáférési és frissítési jogkivonatokat ad vissza, amelyeket az API Management titkosít és ment.
Hozzáférési szabályzat
Minden kapcsolathoz egy vagy több hozzáférési szabályzatot konfigurálhat. A hozzáférési szabályzatok határozzák meg, hogy mely Microsoft Entra-identitások férhetnek hozzá a hitelesítő adatokhoz futásidőben. A kapcsolatok jelenleg szolgáltatásazonosítók, az API Management példány identitása, felhasználók és csoportok használatával támogatják a hozzáférést.
| Személyazonosság | Leírás | Előnyök | Megfontolások |
|---|---|---|---|
| Szolgáltatási főelem | Identitás, amelynek jogkivonatai felhasználhatók adott Azure-erőforrások hitelesítésére és hozzáférésének megadására, amikor egy szervezet Microsoft Entra-azonosítót használ. A szolgáltatásnév használatával a szervezetek nem hoznak létre fiktív felhasználókat a hitelesítés kezeléséhez, amikor erőforráshoz kell hozzáférniük. A szolgáltatásgazda egy Microsoft Entra-identitás, amely egy regisztrált Microsoft Entra-alkalmazást képvisel. | Lehetővé teszi a kapcsolati és felhasználódelegálási forgatókönyvek szigorúbb hatókörű elérését. Nincs adott API Management-példányhoz kötve. A Microsoft Entra-azonosítóra támaszkodik az engedélykényszerítéshez. | A jogosultsági környezet lekéréséhez Microsoft Entra ID tokenre van szükség. |
Felügyelt identitás <Your API Management instance name> |
Ez a beállítás az API Management-példányhoz kapcsolódó felügyelt identitásnak felel meg. | Alapértelmezés szerint hozzáférést biztosít a rendszer által hozzárendelt felügyelt identitáshoz az adott API-kezelési példányhoz. | Az identitás az API Management-példányhoz van kötve. Bárki, aki közreműködői hozzáféréssel rendelkezik az API Management-példányhoz, hozzáférhet a felügyelt identitásengedélyeket biztosító bármilyen kapcsolathoz. |
| Felhasználók vagy csoportok | Felhasználók vagy csoportok a Microsoft Entra ID bérlői azonosítóban. | Lehetővé teszi bizonyos felhasználók vagy felhasználói csoportok hozzáférésének korlátozását. | Megköveteli, hogy a felhasználók Microsoft Entra-azonosító fiókkal rendelkezzenek. |
Kapcsolatok futásideje
A futtatókörnyezeti részhez egy háttérbeli OAuth 2.0 API-t kell konfigurálni a get-authorization-context szabályzattal. Futásidőben a szabályzat lekéri és tárolja a hozzáférési és frissítési jogkivonatokat az API Management által a szolgáltató számára beállított hitelesítőadat-tárolóból. Amikor egy hívás bekerül az API Managementbe, és a get-authorization-context szabályzat végrehajtása megtörténik, először ellenőrzi, hogy a meglévő engedélyezési jogkivonat érvényes-e. Ha az engedélyezési jogkivonat lejárt, az API Management egy OAuth 2.0-s folyamatot használ a tárolt jogkivonatok frissítéséhez a hitelesítőadat-szolgáltatótól. Ezután a hozzáférési jogkivonat a háttérszolgáltatáshoz való hozzáférés engedélyezésére szolgál.
A szabályzat végrehajtása során a jogkivonatokhoz való hozzáférés hozzáférési szabályzatokkal is érvényesíthető.
Az alábbi képen egy példafolyamat látható az engedélyezési és frissítési jogkivonatok lekérésére és tárolására egy olyan kapcsolat alapján, amely az engedélyezési kód megadásának típusát használja. A tokenek lekérése után API-hívás történik a háttérben futó API-ra.
| Lépés | Leírás |
|---|---|
| 1 | Az ügyfél kérést küld az API Management-példánynak. |
| 2 | A get-authorization-context szabályzat ellenőrzi, hogy a hozzáférési jogkivonat érvényes-e az aktuális kapcsolatra. |
| 3 | Ha a hozzáférési jogkivonat lejárt, de a frissítési jogkivonat érvényes, az API Management megpróbál új hozzáférési és frissítési jogkivonatokat lekérni a konfigurált hitelesítőadat-szolgáltatótól. |
| 4 | A hitelesítőadat-szolgáltató egy hozzáférési jogkivonatot és egy frissítési jogkivonatot is visszaad, amelyet a rendszer titkosít és ment az API Managementbe. |
| 5 | A tokenek lekérése után a hozzáférési token a set-header szabályzat segítségével engedélyezési fejlécként hozzárendelésre kerül a kimenő kéréshez a háttér API felé. |
| 6 | A rendszer visszaadja a választ az API Managementnek. |
| 7 | A rendszer visszaadja a választ az ügyfélnek. |
Kapcsolódó tartalom
- Hitelesítőadat-kezelő áttekintése
- Hitelesítőadat-szolgáltatók konfigurálása a hitelesítőadat-kezelőhöz
- Kapcsolat konfigurálása és használata a Microsoft Graph API-hoz vagy a GitHub API-hoz
- Több engedélyezési kapcsolat konfigurálása egy szolgáltatóhoz
- Kapcsolat konfigurálása felhasználó által delegált hozzáféréshez