Fejlesztői fiókok engedélyezése a Microsoft Entra ID használatával az Azure API-kezelésben

A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Alapszintű v2 | Standard | Standard v2 | Prémium | Prémium v2

Ebből a cikkből megtudhatja, hogyan:

• Engedélyezze a hozzáférést a fejlesztői portálhoz a microsoft entra-azonosítójú felhasználók számára a szervezetében.
• A Microsoft Entra-felhasználók csoportjainak kezelése a felhasználókat tartalmazó külső csoportok hozzáadásával.

A fejlesztői portál biztonságossá tételének lehetőségeiről a Biztonságos hozzáférés az API Management fejlesztői portálhoz című témakörben olvashat.

Fontos

• Ez a cikk a Microsoft Entra-alkalmazások Microsoft Authentication Library (MSAL) használatával történő konfigurálásához szükséges lépésekkel frissült.
• Ha korábban microsoft entra-alkalmazást konfigurált a felhasználói bejelentkezéshez az Azure AD Authentication Library (ADAL) használatával, javasoljuk, hogy migráljon az MSAL-ba.

Feljegyzés

További információ arról, hogy a Külső Microsoft-azonosítóval külső identitások jelentkezhetnek be a fejlesztői portálra, lásd: Hozzáférés engedélyezése az API Management fejlesztői portálhoz a Microsoft Entra külső azonosító használatával.

Előfeltételek

• Végezze el az Azure API Management-példány létrehozása rövid útmutatót.

• API importálása és közzététele az Azure API Management-példányban.

• Ha a példányt v2-szinten hozta létre, engedélyezze a fejlesztői portált. További információ: Oktatóanyag: A fejlesztői portál elérése és testreszabása.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: Az Azure Cloud Shell használatának első lépései.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd: Hitelesítés az Azure-ba az Azure CLI használatával.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata és kezelése az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

Nyissa meg az API Management-példányát

1. Az Azure portálonkeresse meg és válassza ki a API Management szolgáltatásokat:

   

2. Az API Management-szolgáltatások lapon válassza ki az API Management-példányt:

   

Felhasználói bejelentkezés engedélyezése a Microsoft Entra-azonosítóval – portál

A konfiguráció egyszerűsítése érdekében az API Management automatikusan engedélyezheti a Microsoft Entra-alkalmazás- és identitásszolgáltatót a fejlesztői portál felhasználói számára. Másik lehetőségként manuálisan is engedélyezheti a Microsoft Entra alkalmazás- és identitásszolgáltatót.

A Microsoft Entra alkalmazás- és identitásszolgáltató automatikus engedélyezése

1. Az API Management-példány bal oldali menüjében, a Fejlesztői portál területen válassza a Portál áttekintése lehetőséget.

2. A Portál áttekintési oldalán görgessen le, és engedélyezze a felhasználói bejelentkezést a Microsoft Entra-azonosítóval.

3. Válassza a Microsoft Entra-azonosító engedélyezése lehetőséget.

4. A Microsoft Entra-azonosító engedélyezése lapon válassza a Microsoft Entra-azonosító engedélyezése lehetőséget.

5. Válassza a Bezárás lehetőséget.

   

A Microsoft Entra-szolgáltató engedélyezése után:

• A megadott Microsoft Entra-példány felhasználói Microsoft Entra-fiókkal jelentkezhetnek be a fejlesztői portálra.
• A Microsoft Entra konfigurációját a portál Fejlesztői portál>Identitások lapján kezelheti.
• Ha szeretné, konfigurálja az egyéb bejelentkezési beállításokat az Identitások Előfordulhat például, hogy névtelen felhasználókat szeretne átirányítani a bejelentkezési lapra.
• A konfiguráció módosítása után tegye közzé újra a fejlesztői portált.

A Microsoft Entra alkalmazás- és identitásszolgáltató manuális engedélyezése

1. Az API Management-példány bal oldali menüjében, a Fejlesztői portál alatt válassza az Identitások lehetőséget.

2. Válassza a +Hozzáadás lehetőséget a tetején, hogy megnyissa az Identitásszolgáltató hozzáadása panelt a jobb oldalon.

3. A Típus csoportban válassza a Microsoft Entra-azonosítót a legördülő menüből. A kiválasztás után más szükséges információkat is megadhat.

   • A Klienskönyvtár legördülő listájában válassza ki a MSAL lehetőséget.
   • Az ügyfélazonosító és az ügyfél titkos kódjának hozzáadásához tekintse meg a cikk későbbi lépéseit.

4. Mentse az átirányítási URL-címet későbbre.

   

5. A böngészőben nyissa meg az Azure Portalt egy új lapon.

6. Navigáljon az Alkalmazásregisztrációk részhez az alkalmazás Active Directoryban való regisztrálásához.

7. Új regisztráció kiválasztása. Az alkalmazás regisztrálása lapon állítsa be az alábbi értékeket:

   • Állítsa Name értelmes névre, például developer-portal
   • Állítsa be a támogatott fióktípusokat bármely szervezeti címtárban lévő fiókokra.
   • Az Átirányítási URI-ban válassza az Egyoldalas alkalmazás (SPA) lehetőséget, és illessze be az előző lépésből mentett átirányítási URL-címet.
   • Válassza a Regisztráció lehetőséget.

8. Miután regisztrálta az alkalmazást, másolja ki az alkalmazás (ügyfél) azonosítóját az Áttekintés lapról.

9. Kapcsoljon át a böngésző lapra az API Management-példányával.

10. Az Identitásszolgáltató hozzáadása ablakban illessze be az Alkalmazás (ügyfél) azonosító értékét az Ügyfélazonosító mezőbe.

11. Váltson arra a böngészőlapsra, amelyik az alkalmazás regisztrációját tartalmazza.

12. Válassza ki a megfelelő alkalmazásregisztrációt.

13. Az oldalmenü Kezelés szakaszában válassza a Tanúsítványok > titkos kódok lehetőséget.

14. A Tanúsítványok > titkos kódok lapon válassza az Új ügyfélkód gombot az Ügyfél titkos kulcsok területén.

    • Adjon meg egy leírást.
    • Válassza ki a Lejárat opciót.
    • Válassza a Hozzáadás lehetőséget.

15. Másolja az ügyfél titkos kódjának értékét a lap elhagyása előtt. Erre később még szüksége lesz.

16. Az oldalmenü Kezelés területén válassza a Jogkivonat konfiguráció> lehetőséget, majd kattintson a + Opcionális jogcím hozzáadása gombra.

    1. A jel típusánál válassza az ID-t.
    2. Válassza ki (jelölje be) a következő jogcímeket: e-mail, family_name, given_name.
    3. Válassza a Hozzáadás lehetőséget. Ha a rendszer kéri, válassza a Microsoft Graph-e-mail bekapcsolása, profilengedélyek.

17. Kapcsoljon át a böngésző lapra az API Management-példányával.

18. Illessze be a titkos kulcsot az Ügyfél titkos kód mezőjébe az Identitásszolgáltató hozzáadása panelen.

    Fontos

    Frissítse az ügyfél titkos kódjait a kulcs lejárata előtt.

19. A Bejelentkezési bérlő mezőben adja meg a bérlő nevét vagy azonosítóját a Microsoft Entra-ba történő bejelentkezéshez. Ha nincs megadva érték, a rendszer a Common végpontot használja.

20. Az Engedélyezett bérlőkben adjon hozzá adott Microsoft Entra-bérlőneveket vagy azonosítókat a Microsoft Entra-ba való bejelentkezéshez.

21. A kívánt konfiguráció megadása után válassza a Hozzáadás lehetőséget.

22. A Microsoft Entra-konfiguráció életbe léptetéséhez tegye közzé újra a fejlesztői portált. A bal oldali menü Fejlesztői portál területén válassza a Portál áttekintése>.

A Microsoft Entra-szolgáltató engedélyezése után:

• A megadott Microsoft Entra-bérlő(k) felhasználói Microsoft Entra-fiókkal jelentkezhetnek be a fejlesztői portálra.
• A Microsoft Entra konfigurációját a portál Fejlesztői portál>Identitások lapján kezelheti.
• Ha szeretné, konfigurálja az egyéb bejelentkezési beállításokat az Identitások Előfordulhat például, hogy névtelen felhasználókat szeretne átirányítani a bejelentkezési lapra.
• A konfiguráció módosítása után tegye közzé újra a fejlesztői portált.

Migrálás MSAL-be

Ha korábban konfigurált egy Microsoft Entra-alkalmazást a felhasználói bejelentkezéshez az ADAL használatával, a portálon migrálhatja az alkalmazást az MSAL-be, és frissítheti az identitásszolgáltatót az API Managementben.

A Microsoft Entra alkalmazás frissítése az MSAL kompatibilitásához

A lépésekért lásd : Átirányítási URI-k váltása az egyoldalas alkalmazástípusra.

Identitásszolgáltató konfigurációjának frissítése

1. Az API Management-példány bal oldali menüjében, a Fejlesztői portál alatt válassza az Identitások lehetőséget.
2. Válassza ki a Microsoft Entra-azonosítót a listából.
3. A Klienskönyvtár legördülő listájában válassza ki a MSAL lehetőséget.
4. Válassza a Frissítés lehetőséget.
5. Tegye közzé újra a fejlesztői portált.

Külső Microsoft Entra-csoport hozzáadása

Most, hogy engedélyezte a hozzáférést egy Microsoft Entra-bérlő felhasználói számára, a következőket teheti:

• Microsoft Entra-csoportok hozzáadása az API Managementhez. A hozzáadott csoportoknak abban a bérlőben kell lenniük, amelyben az API Management-példány telepítve van.
• A termékek láthatóságának szabályozása a Microsoft Entra-csoportokkal.

1. Lépjen az előző szakaszban regisztrált alkalmazás alkalmazásregisztrációs oldalára.
2. Válassza ki az API-engedélyeket.
3. Adja hozzá az alábbi minimális alkalmazásengedélyeket a Microsoft Graph API-hoz:
   • User.Read.All alkalmazásengedély – így az API Management beolvassa a felhasználó csoporttagságát a csoportszinkronizálás végrehajtásához, amikor a felhasználó bejelentkezik.
   • Group.Read.All alkalmazásengedély – így az API Management elolvashatja a Microsoft Entra-csoportokat, amikor egy rendszergazda megpróbálja hozzáadni a csoportot az API Managementhez a portál Csoportok paneljén.
4. Válassza a Rendszergazdai hozzájárulás megadása a(z) {tenantname} számára lehetőséget, hogy a címtárban lévő összes felhasználó számára hozzáférést biztosítson.

Most már hozzáadhat külső Microsoft Entra-csoportokat az API Management-példány Csoportok lapján.

1. Az oldalmenü Fejlesztői portál területén válassza a Csoportok lehetőséget.

2. Válassza a Microsoft Entra csoport hozzáadása gombot.

   

3. Válassza ki a bérlőt a legördülő listából.

4. Keresse meg és jelölje ki a hozzáadni kívánt csoportot.

5. Nyomja le a Kiválasztás gombot.

Miután hozzáadott egy külső Microsoft Entra-csoportot, áttekintheti és konfigurálhatja annak tulajdonságait:

1. Válassza ki a csoport nevét a Csoportok lapon.
2. A csoport nevének és leírásának szerkesztése.

A konfigurált Microsoft Entra-példány felhasználói mostantól:

• Jelentkezzen be a fejlesztői portálra.
• Megtekintheti és előfizethet azokra a csoportokra, amelyek hozzáférést biztosítanak számára.

Feljegyzés

Tudjon meg többet a delegált és alkalmazási engedélytípusok közötti különbségről a Microsoft identitásplatformon található Engedélyek és hozzájárulások című cikkben.

Microsoft Entra-csoportok szinkronizálása az API Managementtel

A Microsoft Entra-ban konfigurált csoportoknak szinkronizálva kell lenniük az API Managementtel, hogy hozzáadhassa őket a példányhoz. Ha a csoportok nem szinkronizálódnak automatikusan, végezze el az alábbi műveletek egyikét a csoportadatok manuális szinkronizálásához:

• Jelentkezzen ki, és jelentkezzen be a Microsoft Entra-azonosítóba. Ez a tevékenység általában a csoportok szinkronizálását aktiválja.
• Győződjön meg arról, hogy a Microsoft Entra bejelentkezési bérlő azonos módon van megadva (bérlőazonosító vagy tartománynév használatával) az API Management konfigurációs beállításaiban. A bejelentkezési bérletet a fejlesztői portálhoz tartozó Microsoft Entra ID identitásszolgáltatóban adja meg, valamint amikor hozzáad egy Microsoft Entra-csoportot az API-kezeléshez.

Fejlesztői portál: Microsoft Entra-fiókhitelesítés hozzáadása

A fejlesztői portálon bejelentkezhet a Microsoft Entra-azonosítóval a Bejelentkezési gomb: OAuth widget használatával, amely az alapértelmezett fejlesztői portál tartalmának bejelentkezési oldalán található.

Bár egy új fiók automatikusan létrejön, amikor egy új felhasználó bejelentkezik a Microsoft Entra-azonosítóval, érdemes lehet hozzáadni ugyanazt a widgetet a regisztrációs oldalhoz. A regisztrációs űrlap: OAuth widget az OAuth-ra való regisztrációhoz használt űrlapot jelöli.

Fontos

A Microsoft Entra-azonosító módosításainak érvénybe lépéséhez újra közzé kell tennie a portált .

Kapcsolódó tartalom

• További információ a Microsoft Entra-azonosítóról és az OAuth2.0-ról.
• További információ az MSAL-ról és az MSAL-re való migrálásról.
• A Microsoft Graph hálózati kapcsolatainak hibaelhárítása virtuális hálózaton belülről.