Otorisasi akun pengembang menggunakan Microsoft Entra ID di Azure API Management

APPLIES TO: Developer | Basic v2 | Standard | Standard v2 | Premium | Premium v2

Dalam artikel ini, Anda akan mempelajari cara:

• Aktifkan akses ke portal pengembang untuk pengguna dari ID Microsoft Entra.
• Kelola grup pengguna Microsoft Entra dengan menambahkan grup eksternal yang berisi pengguna.

Untuk gambaran umum opsi untuk mengamankan portal pengembang, lihat Mengamankan akses ke portal pengembang API Management.

Penting

• Artikel ini telah diperbarui dengan langkah-langkah untuk mengonfigurasi aplikasi Microsoft Entra menggunakan Microsoft Authentication Library (MSAL).
• Jika sebelumnya Anda mengonfigurasi aplikasi Microsoft Entra untuk masuk pengguna menggunakan Azure AD Authentication Library (ADAL), kami sarankan Anda bermigrasi ke MSAL.

Prasyarat

• Complete the Create an Azure API Management instance quickstart.

• Mengimpor dan menerbitkan sebuah API dalam instans Azure API Management.

• Jika Anda membuat instans di tingkat v2, aktifkan portal pengembang. Untuk informasi selengkapnya, lihat Tutorial: Mengakses dan menyesuaikan portal pengembang.

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Panduan Cepat untuk Bash di Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan az upgrade.

Pergi ke instans API Management Anda

1. Di portal Azure , cari dan pilih layanan API Management :

   

2. Pada halaman layanan API Management , pilih instans API Management Anda:

   

Mengaktifkan masuk pengguna menggunakan ID Microsoft Entra - portal

Untuk menyederhanakan konfigurasi, API Management dapat secara otomatis mengaktifkan aplikasi Microsoft Entra dan penyedia identitas untuk pengguna portal pengembang. Atau, Anda dapat mengaktifkan aplikasi dan penyedia identitas Microsoft Entra secara manual.

Mengaktifkan aplikasi microsoft Entra dan penyedia identitas secara otomatis

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Gambaran umum portal.

2. Pada halaman Gambaran umum portal, gulir ke bawah untuk Mengaktifkan masuk pengguna dengan Microsoft Entra ID.

3. Pilih Aktifkan Microsoft Entra ID.

4. Pada halaman Aktifkan ID Microsoft Entra, pilih Aktifkan ID Microsoft Entra.

5. Pilih Tutup.

   

Setelah penyedia Microsoft Entra diaktifkan:

• Pengguna dalam instans Microsoft Entra yang ditentukan dapat masuk ke portal pengembang dengan menggunakan akun Microsoft Entra.
• Anda dapat mengelola konfigurasi Microsoft Entra di portal Pengembang>Identitas di portal.
• Secara opsional, konfigurasikan pengaturan kredensial masuk lainnya dengan memilih Identitas>Pengaturan. Misalnya, Anda mungkin ingin mengalihkan pengguna anonim ke halaman kredensial masuk.
• Terbitkan ulang portal pengembang setelah perubahan konfigurasi apa pun.

Mengaktifkan aplikasi Microsoft Entra dan penyedia identitas secara manual

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Identitas.

2. Pilih +Tambahkan dari atas untuk membuka panel Tambahkan penyedia identitas ke kanan.

3. Di bawah Jenis, pilih ID Microsoft Entra dari menu drop-down. Setelah dipilih, Anda akan dapat memasukkan informasi lain yang diperlukan.

   • Di menu tarik-turun Pustaka klien, pilih MSAL.
   • Untuk menambahkan ID Klien dan Rahasia klien, lihat langkah-langkah nanti di artikel ini.

4. Simpan URL Pengalihan untuk nanti.

   

5. Di browser Anda, buka portal Azure di tab baru.

6. Navigasi ke Pendaftaran aplikasi untuk mendaftarkan aplikasi di Active Directory.

7. Pilih Pendaftaran baru. Pada halaman Daftarkan aplikasi, atur nilai sebagai berikut:

   • Atur Nama ke nama yang bermakna, seperti portal pengembang
   • Atur Jenis akun yang didukung ke Akun di direktori organisasi mana pun.
   • Di URI Pengalihan, pilih Single-page application (SPA) dan tempel URL pengalihan yang Anda simpan dari langkah sebelumnya.
   • Pilih Daftarkan.

8. Setelah aplikasi terdaftar, salin ID Aplikasi (klien) dari halaman Gambaran Umum.

9. Switch to the browser tab with your API Management instance.

10. Di jendela Tambahkan penyedia identitas, tempelkan nilai ID Aplikasi (klien) ke dalam kotak ID Klien.

11. Beralih ke tab browser dengan registrasi aplikasi.

12. Pilih pendaftaran aplikasi yang sesuai.

13. Di bawah bagian Kelola menu samping, pilih Sertifikat & rahasia.

14. Dari halaman Sertifikat & rahasia, pilih tombol Rahasia klien baru di bawah Rahasia klien.

    • Masukkan Deskripsi.
    • Pilih opsi apa pun untuk Kedaluwarsa.
    • Pilih Tambahkan.

15. Salin Nilai Rahasia Klien sebelum meninggalkan halaman. Anda akan membutuhkannya nanti.

16. Di bawah Kelola di menu samping, pilih Konfigurasi token>+ Tambahkan klaim opsional.

    1. Di Jenis token, pilih ID.
    2. Pilih (periksa) klaim berikut: email, nama_keluarga, nama_depan.
    3. Pilih Tambahkan. Jika diminta, pilih Aktifkan surel Microsoft Graph, izin profil.

17. Switch to the browser tab with your API Management instance.

18. Tempelkan rahasia ke bidang rahasia Klien di panel Tambahkan penyedia identitas.

    Penting

    Perbarui Rahasia klien sebelum kunci kedaluwarsa.

19. Di Signin tenant, tentukan nama tenant atau ID yang akan digunakan untuk masuk ke Microsoft Entra. Jika tidak ada nilai yang ditentukan, titik akhir Umum digunakan.

20. Di Penyewa yang diperbolehkan, tambahkan nama penyewa atau ID penyewa Microsoft Entra tertentu untuk mengakses Microsoft Entra.

21. Setelah Anda menentukan konfigurasi yang diinginkan, pilih Tambahkan.

22. Terbitkan ulang portal pengembang agar konfigurasi Microsoft Entra berlaku. Di menu sebelah kiri, di bawah Portal pengembang, pilih Gambaran umum portal>Terbitkan.

Setelah penyedia Microsoft Entra diaktifkan:

• Pengguna di penyewa Microsoft Entra yang ditentukan dapat masuk ke portal pengembang dengan menggunakan akun Microsoft Entra.
• Anda dapat mengelola konfigurasi Microsoft Entra di portal Pengembang>Identitas di portal.
• Secara opsional, konfigurasikan pengaturan kredensial masuk lainnya dengan memilih Identitas>Pengaturan. Misalnya, Anda mungkin ingin mengalihkan pengguna anonim ke halaman kredensial masuk.
• Terbitkan ulang portal pengembang setelah perubahan konfigurasi apa pun.

Bermigrasi ke MSAL

Jika Anda sebelumnya sudah mengonfigurasi aplikasi Microsoft Entra untuk masuk pengguna menggunakan ADAL, Anda dapat menggunakan portal untuk memindahkan aplikasi ke MSAL dan memperbarui penyedia identitas di pengelolaan API.

Memperbarui aplikasi Microsoft Entra untuk kompatibilitas MSAL

Untuk langkah-langkahnya, lihat Mengalihkan URI pengalihan ke jenis aplikasi satu halaman.

Memperbarui konfigurasi penyedia identitas

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Identitas.
2. Pilih ID Microsoft Entra dari daftar.
3. Di menu tarik-turun Pustaka klien, pilih MSAL.
4. Pilih Perbarui.
5. Menerbitkan kembali portal pengembang Anda.

Tambahkan grup eksternal Microsoft Entra

Setelah mengaktifkan akses untuk pengguna di penyewa Microsoft Entra, Anda dapat:

• Tambahkan grup Microsoft Entra ke API Management. Grup yang ditambahkan harus berada di tenant tempat instans API Management Anda ditempatkan.
• Mengontrol visibilitas produk menggunakan grup Microsoft Entra.

1. Navigasikan ke halaman Pendaftaran Aplikasi untuk aplikasi yang Anda daftarkan di bagian sebelumnya.
2. Pilih Izin API.
3. Add the following minimum application permissions for Microsoft Graph API:
   • User.Read.All izin aplikasi – sehingga API Management dapat membaca keanggotaan grup pengguna untuk melakukan sinkronisasi grup pada saat pengguna masuk.
   • Group.Read.All izin aplikasi – sehingga API Management dapat membaca grup di Microsoft Entra saat administrator mencoba menambahkan grup ke API Management menggunakan bilah Grup di portal.
4. Pilih Berikan persetujuan admin untuk {tenantname} sehingga Anda memberikan akses untuk semua pengguna di direktori ini.

Sekarang Anda dapat menambahkan grup eksternal Microsoft Entra dari tab Grup di instans Manajemen API Anda.

1. Pada Portal pengembang di menu, pilih Grup.

2. Pilih tombol Tambahkan grup Microsoft Entra.

   

3. Pilih Penyewa dari menu geser turun.

4. Cari dan pilih grup yang ingin Anda tambahkan.

5. Tekan tombol Pilih.

Setelah menambahkan grup Microsoft Entra eksternal, Anda dapat meninjau dan mengonfigurasi propertinya:

1. Pilih nama grup dari tab Grup.
2. Edit Nama dan Deskripsi informasi untuk grup.

Pengguna dari instans Microsoft Entra yang dikonfigurasi sekarang dapat:

• Masuk ke portal pengembang.
• View and subscribe to any groups for which they have visibility.

Catatan

Pelajari selengkapnya tentang perbedaan antara jenis izin Didelegasikan dan Aplikasi dalam Izin dan persetujuan di artikel platform identitas Microsoft.

Menyinkronkan grup Microsoft Entra dengan API Management

Grup yang dikonfigurasi di Microsoft Entra harus disinkronkan dengan API Management sehingga Anda dapat menambahkannya ke instans Anda. Jika grup tidak disinkronkan secara otomatis, lakukan salah satu hal berikut ini untuk menyinkronkan informasi grup secara manual:

• Sign out and sign in to Microsoft Entra ID. Aktivitas ini biasanya memicu sinkronisasi grup.
• Pastikan bahwa penyewa yang melakukan masuk ke Microsoft Entra ditentukan dengan cara yang sama (menggunakan salah satu ID penyewa atau nama domain) di pengaturan konfigurasi Anda di API Management. You specify the sign-in tenant in the Microsoft Entra ID identity provider for the developer portal and when you add a Microsoft Entra group to API Management.

Portal pengembang: Menambahkan autentikasi akun Microsoft Entra

Di portal pengembang, Anda dapat masuk dengan MICROSOFT Entra ID menggunakan tombol Masuk: widget OAuth yang disertakan di halaman masuk konten portal pengembang default.

Meskipun akun baru akan secara otomatis dibuat saat pengguna baru masuk dengan ID Microsoft Entra, pertimbangkan untuk menambahkan widget yang sama ke halaman pendaftaran. Widget Formulir pendaftaran: OAuth menyajikan formulir yang digunakan untuk mendaftar dengan OAuth.

Penting

Anda perlu menerbitkan ulang portal agar perubahan ID Microsoft Entra diterapkan.

Konten terkait

• Pelajari selengkapnya tentang MICROSOFT Entra ID dan OAuth2.0.
• Pelajari selengkapnya tentang MSAL dan bermigrasi ke MSAL.
• Troubleshoot network connectivity to Microsoft Graph from inside a VNet.