Fejlesztői fiókok engedélyezése a Microsoft Entra ID használatával az Azure API-kezelésben

Ebből a cikkből megtudhatja, hogyan:

• Engedélyezze a hozzáférést a fejlesztői portálhoz a Microsoft Entra ID-ból származó felhasználók számára.
• A Microsoft Entra-felhasználók csoportjainak kezelése a felhasználókat tartalmazó külső csoportok hozzáadásával.

A fejlesztői portál biztonságossá tételének lehetőségeiről a Biztonságos hozzáférés az API Management fejlesztői portálhoz című témakörben olvashat.

Fontos

• Ez a cikk a Microsoft Entra-alkalmazások Microsoft Authentication Library (MSAL) használatával történő konfigurálásához szükséges lépésekkel frissült.
• Ha korábban microsoft entra-alkalmazást konfigurált a felhasználói bejelentkezéshez az Azure AD Authentication Library (ADAL) használatával, javasoljuk, hogy migráljon az MSAL-ba.

Előfeltételek

• Végezze el az Azure API Management-példány létrehozása rövid útmutatót.

• API importálása és közzététele az Azure API Management-példányban.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Standard | Prémium

Nyissa meg az API Management-példányát

1. Az Azure Portalon keresse meg és válassza ki az API Management-szolgáltatásokat.

   

2. Az API Management-szolgáltatások lapon válassza ki az API Management-példányt.

   

Felhasználói bejelentkezés engedélyezése a Microsoft Entra-azonosítóval – portál

A konfiguráció egyszerűsítése érdekében az API Management automatikusan engedélyezheti a Microsoft Entra-alkalmazás- és identitásszolgáltatót a fejlesztői portál felhasználói számára. Másik lehetőségként manuálisan is engedélyezheti a Microsoft Entra alkalmazás- és identitásszolgáltatót.

A Microsoft Entra alkalmazás- és identitásszolgáltató automatikus engedélyezése

1. Az API Management-példány bal oldali menüjében, a Fejlesztői portál területen válassza a Portál áttekintése lehetőséget.

2. A Portál áttekintési oldalán görgessen le, és engedélyezze a felhasználói bejelentkezést a Microsoft Entra-azonosítóval.

3. Válassza a Microsoft Entra-azonosító engedélyezése lehetőséget.

4. A Microsoft Entra-azonosító engedélyezése lapon válassza a Microsoft Entra-azonosító engedélyezése lehetőséget.

5. Válassza a Bezárás lehetőséget.

   

A Microsoft Entra-szolgáltató engedélyezése után:

• A megadott Microsoft Entra-példány felhasználói Microsoft Entra-fiókkal jelentkezhetnek be a fejlesztői portálra.
• A Microsoft Entra konfigurációját a portál Fejlesztői portál>Identitások lapján kezelheti.
• Ha szeretné, konfigurálja az egyéb bejelentkezési beállításokat az Identitások> beállítással Gépház. Előfordulhat például, hogy névtelen felhasználókat szeretne átirányítani a bejelentkezési lapra.
• A konfiguráció módosítása után tegye közzé újra a fejlesztői portált.

A Microsoft Entra alkalmazás- és identitásszolgáltató manuális engedélyezése

1. Az API Management-példány bal oldali menüjében, a Fejlesztői portál alatt válassza az Identitások lehetőséget.

2. Válassza a +Hozzáadás felülről lehetőséget az Identitásszolgáltató hozzáadása panel jobb oldalán való megnyitásához.

3. A Típus csoportban válassza a Microsoft Entra-azonosítót a legördülő menüből. A kiválasztás után más szükséges információkat is megadhat.

   • Az Ügyfélkódtár legördülő listában válassza az MSAL lehetőséget.
   • Az ügyfélazonosító és az ügyfél titkos kódjának hozzáadásához tekintse meg a cikk későbbi lépéseit.

4. Mentse az átirányítási URL-címet későbbre.

   

   Feljegyzés

   Két átirányítási URL-cím létezik:
   

   • Az URL-címek átirányítása az API Management legújabb fejlesztői portáljára mutat.
   • Az átirányítási URL-cím (elavult portál) az API Management elavult fejlesztői portáljára mutat.

   Javasoljuk, hogy használja a legújabb fejlesztői portál átirányítási URL-címét.

5. A böngészőben nyissa meg az Azure Portalt egy új lapon.

6. Lépjen Alkalmazásregisztrációk az alkalmazás Active Directoryban való regisztrálásához.

7. Új regisztráció kiválasztása. Az alkalmazás regisztrálása lapon állítsa be az alábbi értékeket:

   • A név beállítása értelmes névre, például fejlesztői portálra
   • Állítsa be a támogatott fióktípusokat bármely szervezeti címtárban lévő fiókokra.
   • Az Átirányítási URI-ban válassza az Egyoldalas alkalmazás (SPA) lehetőséget, és illessze be az előző lépésből mentett átirányítási URL-címet.
   • Válassza ki a pénztárgépet.

8. Miután regisztrálta az alkalmazást, másolja ki az alkalmazás (ügyfél) azonosítóját az Áttekintés lapról.

9. Váltson a böngésző lapra az API Management-példányával.

10. Az Identitásszolgáltató hozzáadása ablakban illessze be az Alkalmazás (ügyfél) azonosító értékét az Ügyfélazonosító mezőbe.

11. Váltson a böngésző lapra az alkalmazásregisztrációval.

12. Válassza ki a megfelelő alkalmazásregisztrációt.

13. Az oldalmenü Kezelés szakaszában válassza a Tanúsítványok > titkos kódok lehetőséget.

14. A Tanúsítványok > titkos kódok lapon válassza az Új ügyfélkód gombot az Ügyfél titkos kulcsok területén.

    • Adjon meg egy leírást.
    • Válassza a Lejárat beállítás bármelyikét.
    • Válassza a Hozzáadás lehetőséget.

15. Másolja az ügyfél titkos kódjának értékét a lap elhagyása előtt. Erre később még szüksége lesz.

16. Az oldalmenü Kezelés területén válassza a Hitelesítés lehetőséget.

    1. Az Implicit engedélyezési és hibrid folyamatok szakaszban jelölje be az Azonosító jogkivonatok jelölőnégyzetet.
    2. Válassza a Mentés lehetőséget.

17. Az oldalmenü Kezelés területén válassza a Jogkivonat konfigurációja>+ Opcionális jogcím hozzáadása lehetőséget.

    1. Jogkivonat típusában válassza az azonosítót.
    2. Válassza ki (ellenőrizze) a következő jogcímeket: e-mail, family_name, given_name.
    3. Válassza a Hozzáadás lehetőséget. Ha a rendszer kéri, válassza a Microsoft Graph-e-mail bekapcsolása, profilengedélyek.

18. Váltson a böngésző lapra az API Management-példányával.

19. Illessze be a titkos kulcsot az Ügyfél titkos kód mezőjébe az Identitásszolgáltató hozzáadása panelen.

    Fontos

    Frissítse az ügyfél titkos kódjait a kulcs lejárata előtt.

20. Az Identitásszolgáltató hozzáadása panel Engedélyezett bérlők mezőjében adja meg azokat a Microsoft Entra-példányokat, amelyekhez hozzáférést kíván adni az API Management szolgáltatáspéldány API-jaihoz.

    • Több tartományt is elválaszthat új vonalakkal, szóközökkel vagy vesszőkkel.

    Feljegyzés

    Az Engedélyezett bérlők szakaszban több tartományt is megadhat. A globális felügyeletnek hozzáférést kell adnia az alkalmazásnak a címtáradatokhoz, mielőtt a felhasználók az eredeti alkalmazásregisztrációs tartománytól eltérő tartományból jelentkezhetnek be. Az engedély megadásához a globális rendszergazdának a következőnek kell lennie:

    1. https://<URL of your developer portal>/aadadminconsent Ugrás (példáulhttps://contoso.portal.azure-api.net/aadadminconsent).
    2. Adja meg annak a Microsoft Entra-bérlőnek a tartománynevét, amelyhez hozzáférést kíván adni.
    3. Válassza a Küldés lehetőséget.

21. A kívánt konfiguráció megadása után válassza a Hozzáadás lehetőséget.

22. A Microsoft Entra-konfiguráció életbe léptetéséhez tegye közzé újra a fejlesztői portált. A bal oldali menü Fejlesztői portál területén válassza a Portál áttekintése>közzététel lehetőséget.

A Microsoft Entra-szolgáltató engedélyezése után:

• A megadott Microsoft Entra-példány felhasználói Microsoft Entra-fiókkal jelentkezhetnek be a fejlesztői portálra.
• A Microsoft Entra konfigurációját a portál Fejlesztői portál>Identitások lapján kezelheti.
• Ha szeretné, konfigurálja az egyéb bejelentkezési beállításokat az Identitások> beállítással Gépház. Előfordulhat például, hogy névtelen felhasználókat szeretne átirányítani a bejelentkezési lapra.
• A konfiguráció módosítása után tegye közzé újra a fejlesztői portált.

Migrálás MSAL-be

Ha korábban konfigurált egy Microsoft Entra-alkalmazást a felhasználói bejelentkezéshez az ADAL használatával, a portálon migrálhatja az alkalmazást az MSAL-be, és frissítheti az identitásszolgáltatót az API Managementben.

A Microsoft Entra alkalmazás frissítése az MSAL kompatibilitásához

A lépésekért lásd : Átirányítási URI-k váltása az egyoldalas alkalmazástípusra.

Identitásszolgáltató konfigurációjának frissítése

1. Az API Management-példány bal oldali menüjében, a Fejlesztői portál alatt válassza az Identitások lehetőséget.
2. Válassza ki a Microsoft Entra-azonosítót a listából.
3. Az Ügyfélkódtár legördülő listában válassza az MSAL lehetőséget.
4. Válassza a Frissítés lehetőséget.
5. Tegye közzé újra a fejlesztői portált.

Külső Microsoft Entra-csoport hozzáadása

Most, hogy engedélyezte a hozzáférést egy Microsoft Entra-bérlő felhasználói számára, a következőket teheti:

• Microsoft Entra-csoportok hozzáadása az API Managementhez.
• A termékek láthatóságának szabályozása a Microsoft Entra-csoportokkal.

1. Lépjen az előző szakaszban regisztrált alkalmazás alkalmazásregisztrációs oldalára.
2. Válassza ki az API-engedélyeket.
3. Adja hozzá az alábbi minimális alkalmazásengedélyeket a Microsoft Graph API-hoz:
   • User.Read.All alkalmazásengedély – így az API Management beolvassa a felhasználó csoporttagságát a csoportszinkronizálás végrehajtásához, amikor a felhasználó bejelentkezik.
   • Group.Read.All alkalmazásengedély – így az API Management elolvashatja a Microsoft Entra-csoportokat, amikor egy rendszergazda megpróbálja hozzáadni a csoportot az API Managementhez a portál Csoportok paneljén.
4. Válassza a rendszergazdai hozzájárulás megadása a(z) {tenantname} számára, hogy a címtárban lévő összes felhasználó számára hozzáférést biztosítson.

Most már hozzáadhat külső Microsoft Entra-csoportokat az API Management-példány Csoportok lapján.

1. Az oldalmenü Fejlesztői portál területén válassza a Csoportok lehetőséget.

2. Válassza a Microsoft Entra csoport hozzáadása gombot.

   

3. Válassza ki a bérlőt a legördülő listából.

4. Keresse meg és jelölje ki a hozzáadni kívánt csoportot.

5. Nyomja le a Kiválasztás gombot.

Miután hozzáadott egy külső Microsoft Entra-csoportot, áttekintheti és konfigurálhatja annak tulajdonságait:

1. Válassza ki a csoport nevét a Csoportok lapon.
2. A csoport nevének és leírásának szerkesztése.

A konfigurált Microsoft Entra-példány felhasználói mostantól:

• Jelentkezzen be a fejlesztői portálra.
• Megtekintheti és előfizethet azokra a csoportokra, amelyeknek láthatósága van.

Feljegyzés

További információ a delegált és az alkalmazás engedélytípusai közötti különbségről az engedélyek és a hozzájárulások között a Microsoft Identitásplatform cikkben.

Microsoft Entra-csoportok szinkronizálása az API Managementtel

A Microsoft Entra-ban konfigurált csoportoknak szinkronizálva kell lenniük az API Managementtel, hogy hozzáadhassa őket a példányhoz. Ha a csoportok nem szinkronizálódnak automatikusan, végezze el az alábbi műveletek egyikét a csoportadatok manuális szinkronizálásához:

• Jelentkezzen ki, és jelentkezzen be a Microsoft Entra-azonosítóba. Ez a tevékenység általában a csoportok szinkronizálását aktiválja.
• Győződjön meg arról, hogy a Microsoft Entra bejelentkezési bérlője ugyanúgy van megadva (bérlőazonosító vagy tartománynév használatával) az API Management konfigurációs beállításai között. A bejelentkezési bérlőt a fejlesztői portálHoz tartozó Microsoft Entra ID identitásszolgáltatóban adja meg, és amikor hozzáad egy Microsoft Entra-csoportot az API Managementhez.

Fejlesztői portál: Microsoft Entra-fiókhitelesítés hozzáadása

A fejlesztői portálon bejelentkezhet a Microsoft Entra-azonosítóval a Bejelentkezési gomb: OAuth widget használatával, amely az alapértelmezett fejlesztői portál tartalmának bejelentkezési oldalán található.

Bár egy új fiók automatikusan létrejön, amikor egy új felhasználó bejelentkezik a Microsoft Entra-azonosítóval, érdemes lehet hozzáadni ugyanazt a widgetet a regisztrációs oldalhoz. A regisztrációs űrlap: OAuth widget az OAuth-ra való regisztrációhoz használt űrlapot jelöli.

Fontos

A Microsoft Entra-azonosító módosításainak érvénybe lépéséhez újra közzé kell tennie a portált .

Kapcsolódó tartalom

• További információ a Microsoft Entra-azonosítóról és az OAuth2.0-ról.
• További információ az MSAL-ról és az MSAL-re való migrálásról.
• A Microsoft Graph hálózati kapcsolatainak hibaelhárítása virtuális hálózaton belülről.