Otorisasi akun pengembang menggunakan Microsoft Entra ID di Azure API Management

BERLAKU UNTUK: Pengembang | Dasar v2 | Standar | Standar v2 | Premium | Premium v2

Dalam artikel ini, Anda akan mempelajari cara:

• Aktifkan akses ke portal pengembang untuk pengguna di penyewa ID Microsoft Entra organisasi Anda atau penyewa tenaga kerja ID Microsoft Entra lainnya.
• Kelola grup pengguna Microsoft Entra dengan menambahkan grup eksternal yang berisi pengguna.

Untuk gambaran umum opsi untuk mengamankan portal pengembang, lihat Mengamankan akses ke portal pengembang API Management.

Penting

• Artikel ini diperbarui dengan langkah-langkah untuk mengonfigurasi aplikasi Microsoft Entra menggunakan Microsoft Authentication Library (MSAL).
• Jika sebelumnya Anda mengonfigurasi aplikasi Microsoft Entra untuk masuk pengguna dengan menggunakan Azure AD Authentication Library (ADAL), migrasikan ke MSAL.

Untuk skenario yang melibatkan MICROSOFT External ID untuk memungkinkan identitas eksternal masuk ke portal pengembang, lihat Mengotorisasi akses ke portal pengembang API Management dengan menggunakan ID Eksternal Microsoft Entra.

Petunjuk / Saran

API Management sekarang mendukung akses ke portal pengembang dari pengguna di lebih dari satu tenant Microsoft Entra ID melalui satu registrasi aplikasi dan konfigurasi identitas. Saat ini ini didukung di tingkat Pengembang, Standar, dan Premium.

Prasyarat

• Selesaikan panduan cepat Buat instans Azure API Management.

• Mengimpor dan menerbitkan sebuah API dalam instans Azure API Management.

• Jika Anda membuat instans di tingkat v2, aktifkan portal pengembang. Untuk informasi selengkapnya, lihat Tutorial: Mengakses dan menyesuaikan portal pengembang.

Pergi ke instans API Management Anda

1. Di portal Azure , cari dan pilih layanan API Management :

   

2. Pada halaman layanan API Management , pilih instans API Management Anda:

   

Mengaktifkan masuk pengguna menggunakan ID Microsoft Entra - portal

Untuk menyederhanakan konfigurasi, API Management dapat secara otomatis mengaktifkan aplikasi Microsoft Entra dan penyedia identitas untuk pengguna portal pengembang. Atau, Anda dapat mengaktifkan aplikasi dan penyedia identitas Microsoft Entra secara manual.

Mengaktifkan aplikasi microsoft Entra dan penyedia identitas secara otomatis

Ikuti langkah-langkah ini untuk mengaktifkan ID Microsoft Entra secara otomatis di portal pengembang:

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Gambaran umum portal.

2. Pada halaman Gambaran umum portal, gulir ke bawah untuk Mengaktifkan masuk pengguna dengan Microsoft Entra ID.

3. Pilih Aktifkan Microsoft Entra ID.

4. Pada halaman Aktifkan ID Microsoft Entra, pilih Aktifkan ID Microsoft Entra.

5. Pilih Tutup.

   

Setelah penyedia Microsoft Entra diaktifkan:

• Pengguna di penyewa Microsoft Entra Anda dapat masuk ke portal pengembang dengan menggunakan akun Microsoft Entra.
• Anda dapat mengelola konfigurasi penyedia identitas Microsoft Entra di halamanIdentitas> Pengembang di portal.
• Secara opsional perbarui pendaftaran aplikasi di ID Microsoft Entra untuk mendukung beberapa penyewa, seperti yang dijelaskan dalam Mengonfigurasi pendaftaran aplikasi untuk beberapa penyewa. Nama pendaftaran aplikasi default yang dibuat oleh API Management sama dengan nama instans API Management.
• Secara opsional, konfigurasikan pengaturan kredensial masuk lainnya dengan memilih Identitas>Pengaturan. Misalnya, Anda mungkin ingin mengalihkan pengguna anonim ke halaman kredensial masuk.
• Terbitkan ulang portal pengembang setelah perubahan konfigurasi apa pun.

Mengaktifkan aplikasi Microsoft Entra dan penyedia identitas secara manual

Atau, aktifkan ID Microsoft Entra secara manual di portal pengembang dengan mendaftarkan aplikasi sendiri di ID Microsoft Entra dan mengonfigurasi IdP untuk portal pengembang.

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Identitas.

2. Pilih + Tambahkan dari bagian atas untuk membuka panel Tambahkan idP di sebelah kanan.

3. Di bawah Jenis, pilih ID Microsoft Entra dari menu drop-down. Saat Anda memilih opsi ini, Anda dapat memasukkan informasi lain yang diperlukan.

   • Di menu tarik-turun Pustaka klien, pilih MSAL.
   • Untuk menambahkan ID Klien dan Rahasia klien, lihat langkah-langkah nanti di artikel ini.

4. Simpan URL Pengalihan untuk nanti.

   

5. Di browser Anda, buka portal Azure di tab baru.

6. Buka Pendaftaran aplikasi untuk mendaftarkan aplikasi di ID Microsoft Entra.

7. Pilih Pendaftaran baru. Pada halaman Daftarkan aplikasi, atur nilai sebagai berikut:

   • Atur Nama ke nama yang bermakna, seperti portal pengembang
   • Atur Jenis akun yang didukung, buat pilihan yang sesuai untuk skenario Anda. Jika Anda ingin mengizinkan pengguna di beberapa penyewa Microsoft Entra ID untuk mengakses portal pengembang, pilih Akun di direktori organisasi (Multitenant).
   • Di URI Pengalihan, pilih Single-page application (SPA) dan tempel URL pengalihan yang Anda simpan dari langkah sebelumnya.
   • Pilih Daftarkan.

8. Setelah Anda mendaftarkan aplikasi, salin ID Aplikasi (klien) dari halaman Gambaran Umum .

9. Beralih ke tab browser dengan instans API Management Anda.

10. Di jendela Tambahkan penyedia identitas, tempelkan nilai ID Aplikasi (klien) ke dalam kotak ID Klien.

11. Beralih ke tab browser dengan pendaftaran aplikasi.

12. Pilih pendaftaran aplikasi yang sesuai.

13. Di bawah bagian Kelola menu samping, pilih Sertifikat & rahasia.

14. Dari halaman Sertifikat & rahasia, pilih tombol Rahasia klien baru di bawah Rahasia klien.

    • Masukkan Deskripsi.
    • Pilih opsi apa pun untuk Kedaluwarsa.
    • Pilih Tambahkan.

15. Salin Nilai Rahasia Klien sebelum meninggalkan halaman. Anda membutuhkannya di langkah selanjutnya.

16. Di bawah Kelola di menu samping, pilih Konfigurasi token>+ Tambahkan klaim opsional.

    1. Di Jenis token, pilih ID.
    2. Pilih (periksa) klaim berikut: email, nama_keluarga, nama_depan.
    3. Pilih Tambahkan. Jika diminta, pilih Aktifkan surel Microsoft Graph, izin profil.

17. Beralih ke tab browser dengan instans API Management Anda.

18. Tempelkan rahasia ke bidang rahasia Klien di panel Tambahkan penyedia identitas.

    Penting

    Perbarui Rahasia klien sebelum kunci kedaluwarsa.

19. Di Signin tenant, tentukan nama tenant atau ID yang akan digunakan untuk masuk ke Microsoft Entra. Jika Anda tidak menentukan nilai, titik akhir Umum digunakan.

20. Di Penyewa yang diizinkan, tambahkan satu atau beberapa nama penyewa atau ID penyewa Microsoft Entra tertentu untuk masuk ke Microsoft Entra.

    Catatan

    Jika Anda menentukan penyewa tambahan, pendaftaran aplikasi harus dikonfigurasi untuk mendukung beberapa penyewa. Untuk informasi selengkapnya, lihat Mengonfigurasi pendaftaran aplikasi untuk beberapa penyewa.

21. Setelah Anda menentukan konfigurasi yang diinginkan, pilih Tambahkan.

22. Terbitkan ulang portal pengembang agar konfigurasi Microsoft Entra berlaku. Di menu sebelah kiri, di bawah Portal pengembang, pilih Gambaran umum portal>Terbitkan.

Setelah penyedia Microsoft Entra diaktifkan:

• Pengguna di penyewa Microsoft Entra yang ditentukan dapat masuk ke portal pengembang dengan menggunakan akun Microsoft Entra.
• Anda dapat mengelola konfigurasi Microsoft Entra di portal Pengembang>Identitas di portal.
• Secara opsional, konfigurasikan pengaturan kredensial masuk lainnya dengan memilih Identitas>Pengaturan. Misalnya, Anda mungkin ingin mengalihkan pengguna anonim ke halaman kredensial masuk.
• Terbitkan ulang portal pengembang setelah perubahan konfigurasi apa pun.

Bermigrasi ke MSAL

Jika sebelumnya Anda mengonfigurasi aplikasi Microsoft Entra untuk masuk pengguna dengan menggunakan ADAL, Anda dapat menggunakan portal untuk memigrasi aplikasi ke MSAL dan mengupdate penyedia identitas di API Management.

Memperbarui aplikasi Microsoft Entra untuk kompatibilitas MSAL

Untuk langkah-langkahnya, lihat Mengalihkan URI pengalihan ke jenis aplikasi satu halaman.

Memperbarui konfigurasi penyedia identitas

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Identitas.
2. Pilih ID Microsoft Entra dari daftar.
3. Di menu tarik-turun Pustaka klien, pilih MSAL.
4. Pilih Perbarui.
5. Menerbitkan kembali portal pengembang Anda.

Mengonfigurasi akses oleh pengguna pada lebih dari satu tenant Microsoft Entra

Catatan

Dukungan untuk akses ke portal pengembang oleh pengguna dari beberapa penyewa Microsoft Entra ID saat ini tersedia di tingkat API Management Developer, Standard, dan Premium.

Anda dapat mengaktifkan akses ke portal pengembang oleh pengguna dari lebih dari satu penyewa ID Microsoft Entra. Untuk melakukan ini:

• Mengonfigurasi pendaftaran aplikasi untuk beberapa penyewa.
• Perbarui konfigurasi penyedia identitas ID Microsoft Entra untuk portal pengembang guna menambahkan penyewa lain.

Mengonfigurasi pendaftaran aplikasi untuk beberapa penyewa

Pendaftaran aplikasi yang Anda konfigurasi untuk penyedia identitas harus mendukung beberapa penyewa. Anda dapat melakukan ini dengan salah satu cara berikut:

• Saat membuat pendaftaran aplikasi, atur Jenis akun yang didukung ke Akun di direktori organisasi apa pun (Microsoft Entra ID penyewa mana pun - Multipenyewa).
• Jika sebelumnya Anda mengonfigurasi pendaftaran aplikasi untuk satu penyewa, perbarui pengaturan Jenis akun yang didukung di halaman Kelola>Autentikasi pendaftaran aplikasi.

Memperbarui konfigurasi penyedia identitas ID Microsoft Entra untuk beberapa penyewa

Perbarui konfigurasi penyedia identitas untuk menambahkan instansi lain:

1. Di portal Azure, buka instans API Management Anda.
2. Di bawah Portal pengembang, pilih Identitas.
3. Pilih ID Microsoft Entra dari daftar.
4. Di bidang ID Penyewa , tambahkan ID penyewa tambahan yang dipisahkan oleh koma.
5. Perbarui nilai penyewa Signin menjadi salah satu penyewa yang telah dikonfigurasi.
6. Pilih Perbarui.
7. Menerbitkan kembali portal pengembang Anda.

Tambahkan grup eksternal Microsoft Entra

Setelah mengaktifkan akses untuk pengguna di penyewa Microsoft Entra, Anda dapat:

• Tambahkan grup Microsoft Entra ke API Management. Anda harus menambahkan grup di tenant tempat Anda menyebarkan instans API Management.
• Mengontrol visibilitas produk dengan menggunakan grup Microsoft Entra.

1. Buka halaman Pendaftaran Aplikasi untuk aplikasi yang Anda daftarkan di bagian sebelumnya.
2. Pilih Izin API.
3. Tambahkan izin aplikasi minimum berikut untuk Microsoft Graph API:
   • User.Read.All izin aplikasi – sehingga API Management dapat membaca keanggotaan grup pengguna untuk melakukan sinkronisasi grup saat pengguna masuk.
   • Group.Read.All izin aplikasi – sehingga API Management dapat membaca grup Microsoft Entra saat administrator mencoba menambahkan grup ke API Management dengan menggunakan bilah Grup di portal.
4. Pilih Berikan persetujuan admin untuk {tenantname} untuk memberikan akses bagi semua pengguna di direktori ini.

Sekarang Anda dapat menambahkan grup eksternal Microsoft Entra dari tab Grup di instans Manajemen API Anda.

1. Pada Portal pengembang di menu, pilih Grup.

2. Pilih tombol Tambahkan grup Microsoft Entra.

   

3. Pilih Penyewa dari menu geser turun.

4. Cari dan pilih grup yang ingin Anda tambahkan.

5. Tekan tombol Pilih.

Setelah menambahkan grup Microsoft Entra eksternal, Anda dapat meninjau dan mengonfigurasi propertinya:

1. Pilih nama grup dari tab Grup.
2. Edit Nama dan Deskripsi informasi untuk grup.

Pengguna dari instans Microsoft Entra yang dikonfigurasi sekarang dapat:

• Masuk ke portal pengembang.
• Lihat dan berlangganan ke grup mana pun yang memiliki visibilitas.

Catatan

Pelajari selengkapnya tentang perbedaan antara jenis izin Didelegasikan dan Aplikasi dalam Izin dan persetujuan di artikel platform identitas Microsoft.

Menyinkronkan grup Microsoft Entra dengan API Management

Grup yang Anda konfigurasi di Microsoft Entra harus disinkronkan dengan API Management sehingga Anda dapat menambahkannya ke instans Anda. Jika grup tidak disinkronkan secara otomatis, gunakan salah satu langkah berikut untuk menyinkronkan informasi grup secara manual:

• Keluar dan masuk ke ID Microsoft Entra. Aktivitas ini biasanya memicu sinkronisasi grup.
• Pastikan bahwa penyewa yang melakukan masuk ke Microsoft Entra ditentukan dengan cara yang sama (menggunakan salah satu ID penyewa atau nama domain) di pengaturan konfigurasi Anda di API Management. Anda menentukan penyewa autentikasi di penyedia identitas Microsoft Entra ID untuk portal pengembang serta ketika Anda menambahkan grup Microsoft Entra ke Manajemen API.

Portal pengembang: Menambahkan autentikasi akun Microsoft Entra

Di portal pengembang, Anda dapat mengaktifkan masuk dengan MICROSOFT Entra ID dengan menggunakan tombol Masuk: widget OAuth yang disertakan di halaman masuk konten portal pengembang default.

Pengguna kemudian dapat masuk dengan ID Microsoft Entra sebagai berikut:

1. Buka portal pengembang. Pilih Masuk.

2. Pada halaman Masuk , pilih ID Microsoft Entra. Memilih tombol ini akan membuka halaman masuk ID Microsoft Entra.

   

   Petunjuk / Saran

   Jika lebih dari satu penyewa dikonfigurasi untuk akses, lebih dari satu tombol ID Microsoft Entra muncul di halaman masuk. Setiap tombol diberi label dengan nama penyewa.

3. Di jendela masuk untuk penyewa Microsoft Entra Anda, tanggapi petunjuk. Setelah proses masuk selesai, pengguna dialihkan kembali ke portal pengembang.

Pengguna sekarang masuk ke portal pengembang dan ditambahkan sebagai identitas pengguna API Management baru di Pengguna.

Meskipun akun baru dibuat secara otomatis saat pengguna baru masuk dengan ID Microsoft Entra, pertimbangkan untuk menambahkan widget yang sama ke halaman pendaftaran. Widget Formulir pendaftaran: OAuth menyajikan formulir yang digunakan untuk mendaftar dengan OAuth.

Penting

Anda perlu menerbitkan ulang portal agar perubahan ID Microsoft Entra diterapkan.

Konten terkait

• Pelajari selengkapnya tentang MICROSOFT Entra ID dan OAuth2.0.
• Pelajari selengkapnya tentang MSAL dan bermigrasi ke MSAL.
• Memecahkan masalah konektivitas jaringan ke Microsoft Graph dari dalam VNet.