OAuth 2.0-kapcsolatok a hitelesítő adatok kezelőjében – folyamat részletei és folyamatai
A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint
Ez a cikk részletesen ismerteti az OAuth 2.0-kapcsolatoknak az Azure API Management hitelesítőadat-kezelővel történő kezeléséhez szükséges folyamatokat. A folyamatfolyamatok két részből állnak: a felügyeletből és a futtatókörnyezetből.
Az API Management hitelesítő adatainak kezelőjével kapcsolatos háttérért lásd: About credential manager and API credentials in API Management.
Kapcsolatok kezelése
A hitelesítő adatok kezelőjében a kapcsolatok felügyeleti része gondoskodik az OAuth 2.0-jogkivonatok hitelesítőadat-szolgáltatójának beállításáról és konfigurálásáról, a szolgáltató hozzájárulási folyamatának engedélyezéséről, valamint egy vagy több kapcsolat beállításáról a hitelesítőadat-szolgáltatóval a hitelesítő adatokhoz való hozzáféréshez.
Az alábbi kép az engedélyezési kód megadásának típusát használó API Management-kapcsolat létrehozásának folyamatát foglalja össze.
| Lépés | Leírás |
|---|---|
| 0 | Az ügyfél kérést küld hitelesítőadat-szolgáltató létrehozásához |
| 2 | Létrejön a hitelesítőadat-szolgáltató, és a rendszer visszaküld egy választ |
| 3 | Az ügyfél kérést küld a kapcsolat létrehozásához |
| 4 | Csatlakozás létrejön, és a rendszer visszaküldi a választ azzal az információval, hogy a kapcsolat nincs "csatlakoztatva" |
| 5 | Az ügyfél egy bejelentkezési URL-cím lekérésére irányuló kérést küld az OAuth 2.0 hozzájárulásának a hitelesítőadat-szolgáltatónál való elindításához. A kérés tartalmaz egy átirányítás utáni URL-címet, amelyet az utolsó lépésben kell használni |
| 6 | A válasz egy bejelentkezési URL-címmel lesz visszaadva, amelyet a hozzájárulási folyamat elindításához kell használni. |
| 7 | Az ügyfél megnyit egy böngészőt az előző lépésben megadott bejelentkezési URL-címmel. A rendszer átirányítja a böngészőt a hitelesítőadat-szolgáltató OAuth 2.0 hozzájárulási folyamatára |
| 8 | A hozzájárulás jóváhagyása után a rendszer egy engedélyezési kóddal átirányítja a böngészőt a hitelesítőadat-szolgáltatónál konfigurált átirányítási URL-címre |
| 9 | Az API Management az engedélyezési kóddal lekéri a hozzáférési és frissítési jogkivonatokat |
| 10 | Az API Management megkapja a jogkivonatokat, és titkosítja őket |
| 11 | Az API Management átirányítja a megadott URL-címre az 5. lépésből |
Hitelesítőadat-szolgáltató
A hitelesítőadat-szolgáltató konfigurálásakor választhat a különböző OAuth-szolgáltatók és az engedélyezési típusok (engedélyezési kód vagy ügyfél-hitelesítő adatok) között. Minden szolgáltatóhoz meghatározott konfigurációk szükségesek. Fontos tudnivalók:
- A hitelesítőadat-szolgáltató konfigurációja csak egy engedélyezési típussal rendelkezhet.
- Egy hitelesítőadat-szolgáltató konfigurációja több kapcsolattal is rendelkezhet.
Feljegyzés
A Generic OAuth 2.0 szolgáltatóval más identitásszolgáltatók is használhatók, amelyek támogatják az OAuth 2.0-folyamat szabványait.
Hitelesítőadat-szolgáltató konfigurálásakor a hitelesítő adatok kezelője a háttérben létrehoz egy hitelesítőadat-tárolót , amely a szolgáltató OAuth 2.0 hozzáférési jogkivonatainak gyorsítótárazására és a jogkivonatok frissítésére szolgál.
hitelesítőadat-szolgáltató Csatlakozás
A szolgáltató jogkivonatainak eléréséhez és használatához az ügyfélalkalmazásoknak kapcsolatra van szükségük a hitelesítőadat-szolgáltatóval. Egy adott kapcsolatot a Microsoft Entra ID-identitásokon alapuló hozzáférési szabályzatok engedélyezik. Egy szolgáltatóhoz több kapcsolatot is konfigurálhat.
A kapcsolat konfigurálásának folyamata a konfigurált támogatástól függően eltérő, és a hitelesítőadat-szolgáltató konfigurációjára jellemző. Ha például úgy szeretné konfigurálni a Microsoft Entra-azonosítót, hogy mindkét támogatási típust használja, két hitelesítőadat-szolgáltatói konfigurációra van szükség. Az alábbi táblázat összefoglalja a két támogatási típust.
| Megadás típusa | Leírás |
|---|---|
| Engedélyezési kód | Felhasználói környezethez van kötve, ami azt jelenti, hogy a felhasználónak hozzá kell adnia a kapcsolatot. Amíg a frissítési jogkivonat érvényes, az API Management lekérheti az új hozzáférési és frissítési jogkivonatokat. Ha a frissítési jogkivonat érvénytelenné válik, a felhasználónak újra meg kell felelnie. Minden hitelesítőadat-szolgáltató támogatja az engedélyezési kódot. További információ |
| Ügyfél-hitelesítő adatok | Nem kötődik egy felhasználóhoz, és gyakran használják alkalmazásról alkalmazásra forgatókönyvekben. Az ügyfél hitelesítő adatainak megadásához nincs szükség hozzájárulásra, és a kapcsolat nem válik érvénytelenné. További információ |
Hozzájárulás
Az engedélyezési kód megadásának típusán alapuló kapcsolatok esetében hitelesítenie kell a szolgáltatót, és engedélyeznie kell az engedélyezést. A hitelesítőadat-szolgáltató sikeres bejelentkezése és engedélyezése után a szolgáltató érvényes hozzáférési és frissítési jogkivonatokat ad vissza, amelyeket az API Management titkosít és ment.
Hozzáférési szabályzat
Minden kapcsolathoz egy vagy több hozzáférési szabályzatot konfigurálhat. A hozzáférési szabályzatok határozzák meg, hogy mely Microsoft Entra-identitások férhetnek hozzá a hitelesítő adatokhoz futásidőben. A Csatlakozás ions jelenleg a szolgáltatásnevek, az API Management-példány identitása, a felhasználók és a csoportok használatával támogatja a hozzáférést.
| Identitás | Leírás | Juttatások | Megfontolások |
|---|---|---|---|
| Szolgáltatásnév | Identitás, amelynek jogkivonatai felhasználhatók adott Azure-erőforrások hitelesítéséhez és hozzáférésének biztosításához, amikor egy szervezet Microsoft Entra-azonosítót használ. A szolgáltatásnév használatával a szervezetek nem hoznak létre fiktív felhasználókat a hitelesítés kezeléséhez, amikor erőforráshoz kell hozzáférniük. A szolgáltatásnév egy Microsoft Entra-identitás, amely egy regisztrált Microsoft Entra-alkalmazást jelöl. | A kapcsolati és felhasználói delegálási forgatókönyvekhez való szorosabb hozzáférést teszi lehetővé. Nincs adott API Management-példányhoz kötve. A Microsoft Entra-azonosítóra támaszkodik az engedélykényszerítéshez. | Az engedélyezési környezet lekéréséhez Microsoft Entra-azonosító jogkivonatra van szükség. |
Felügyelt identitás <Your API Management instance name> |
Ez a beállítás az API Management-példányhoz kapcsolódó felügyelt identitásnak felel meg. | Alapértelmezés szerint a rendszer által hozzárendelt felügyelt identitáshoz biztosít hozzáférést a megfelelő API management-példányhoz. | Az identitás az API Management-példányhoz van kötve. Bárki, aki közreműködői hozzáféréssel rendelkezik az API Management-példányhoz, hozzáférhet a felügyelt identitásengedélyeket biztosító bármilyen kapcsolathoz. |
| Felhasználók vagy csoportok | Felhasználók vagy csoportok a Microsoft Entra ID-bérlőben. | Lehetővé teszi bizonyos felhasználók vagy felhasználói csoportok hozzáférésének korlátozását. | Megköveteli, hogy a felhasználók Microsoft Entra-azonosító fiókkal rendelkezzenek. |
Kapcsolatok futtatókörnyezete
A futtatókörnyezeti részhez egy háttérbeli OAuth 2.0 API-t kell konfigurálni a get-authorization-context szabályzattal. Futásidőben a szabályzat lekéri és tárolja a hozzáférési és frissítési jogkivonatokat az API Management által a szolgáltató számára beállított hitelesítőadat-tárolóból. Amikor egy hívás bekerül az API Managementbe, és a get-authorization-context szabályzat végrehajtása megtörténik, először ellenőrzi, hogy a meglévő engedélyezési jogkivonat érvényes-e. Ha az engedélyezési jogkivonat lejárt, az API Management egy OAuth 2.0-s folyamatot használ a tárolt jogkivonatok frissítéséhez a hitelesítőadat-szolgáltatótól. Ezután a hozzáférési jogkivonat a háttérszolgáltatáshoz való hozzáférés engedélyezésére szolgál.
A szabályzat végrehajtása során a jogkivonatokhoz való hozzáférés hozzáférési szabályzatokkal is érvényesíthető.
Az alábbi képen egy példafolyamat látható az engedélyezési és frissítési jogkivonatok lekérésére és tárolására egy olyan kapcsolat alapján, amely az engedélyezési kód megadásának típusát használja. A jogkivonatok lekérése után a rendszer meghívja a háttér API-t.
| Lépés | Leírás |
|---|---|
| 0 | Az ügyfél kérést küld az API Management-példánynak |
| 2 | A get-authorization-context szabályzat ellenőrzi, hogy a hozzáférési jogkivonat érvényes-e az aktuális kapcsolatra |
| 3 | Ha a hozzáférési jogkivonat lejárt, de a frissítési jogkivonat érvényes, az API Management megpróbál új hozzáférési és frissítési jogkivonatokat lekérni a konfigurált hitelesítőadat-szolgáltatótól |
| 4 | A hitelesítőadat-szolgáltató egy hozzáférési jogkivonatot és egy frissítési jogkivonatot is visszaad, amely titkosítva és mentve van az API Managementbe |
| 5 | A jogkivonatok lekérése után a hozzáférési jogkivonat a set-header szabályzattal engedélyezési fejlécként csatlakozik a kimenő kéréshez a háttér API-hoz |
| 6 | A rendszer visszaadja a választ az API Managementnek |
| 7 | A rendszer visszaadja a választ az ügyfélnek |
Kapcsolódó tartalom
- Hitelesítőadat-kezelő áttekintése
- Hitelesítőadat-szolgáltatók konfigurálása a hitelesítőadat-kezelőhöz
- Kapcsolat konfigurálása és használata a Microsoft Graph API-hoz vagy a GitHub API-hoz
- Több engedélyezési kapcsolat konfigurálása egy szolgáltatóhoz
- Kapcsolat konfigurálása felhasználó által delegált hozzáféréshez