Otorisasi akun pengembang menggunakan Microsoft Entra ID di Azure API Management

BERLAKU UNTUK: Pengembang | Dasar v2 | Standar | Standar v2 | Premi

Dalam artikel ini, Anda akan mempelajari cara:

• Aktifkan akses ke portal pengembang untuk pengguna dari ID Microsoft Entra.
• Kelola grup pengguna Microsoft Entra dengan menambahkan grup eksternal yang berisi pengguna.

Untuk gambaran umum opsi untuk mengamankan portal pengembang, lihat Mengamankan akses ke portal pengembang API Management.

Penting

• Artikel ini telah diperbarui dengan langkah-langkah untuk mengonfigurasi aplikasi Microsoft Entra menggunakan Microsoft Authentication Library (MSAL).
• Jika sebelumnya Anda mengonfigurasi aplikasi Microsoft Entra untuk masuk pengguna menggunakan Azure AD Authentication Library (ADAL), kami sarankan Anda bermigrasi ke MSAL.

Prasyarat

• Menyelesaikan mulai cepat Membuat instans Azure API Management.

• Mengimpor dan menerbitkan instans Azure API Management.

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.

Membuka instans API Management Anda

1. Di portal Microsoft Azure, cari dan pilih layanan API Management.

   

2. Di halaman layanan API Management, pilih instans API Management Anda.

   

Mengaktifkan masuk pengguna menggunakan ID Microsoft Entra - portal

Untuk menyederhanakan konfigurasi, API Management dapat secara otomatis mengaktifkan aplikasi Microsoft Entra dan penyedia identitas untuk pengguna portal pengembang. Atau, Anda dapat mengaktifkan aplikasi dan penyedia identitas Microsoft Entra secara manual.

Mengaktifkan aplikasi microsoft Entra dan penyedia identitas secara otomatis

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Gambaran umum portal.

2. Pada halaman Gambaran umum portal, gulir ke bawah untuk Mengaktifkan masuk pengguna dengan ID Microsoft Entra.

3. Pilih Aktifkan ID Microsoft Entra.

4. Pada halaman Aktifkan ID Microsoft Entra, pilih Aktifkan ID Microsoft Entra.

5. Pilih Tutup.

   

Setelah penyedia Microsoft Entra diaktifkan:

• Pengguna dalam instans Microsoft Entra yang ditentukan dapat masuk ke portal pengembang dengan menggunakan akun Microsoft Entra.
• Anda dapat mengelola konfigurasi Microsoft Entra di halaman Identitas portal>Pengembang di portal.
• Secara opsional, konfigurasikan pengaturan kredensial masuk lainnya dengan memilih Identitas>Pengaturan. Misalnya, Anda mungkin ingin mengalihkan pengguna anonim ke halaman kredensial masuk.
• Terbitkan ulang portal pengembang setelah perubahan konfigurasi apa pun.

Mengaktifkan aplikasi microsoft Entra dan idP secara manual

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Identitas.

2. Pilih +Tambahkan dari atas untuk membuka panel Tambahkan penyedia identitas ke kanan.

3. Di bawah Jenis, pilih ID Microsoft Entra dari menu drop-down. Setelah dipilih, Anda akan dapat memasukkan informasi lain yang diperlukan.

   • Di menu menurun Pustaka klien, pilih MSAL.
   • Untuk menambahkan ID Klien dan Rahasia klien, lihat langkah-langkah nanti di artikel ini.

4. Simpan URL Pengalihan untuk nanti.

   

5. Di browser Anda, buka portal Azure di tab baru.

6. Navigasi ke Pendaftaran aplikasi untuk mendaftarkan aplikasi di Active Directory.

7. Pilih Pendaftaran baru. Pada halaman Daftarkan aplikasi, atur nilai sebagai berikut:

   • Atur Nama ke nama yang bermakna, seperti portal pengembang
   • Atur Jenis akun yang didukung ke Akun di direktori organisasi mana pun.
   • Di URI Pengalihan, pilih Single-page application (SPA) dan tempel URL pengalihan yang Anda simpan dari langkah sebelumnya.
   • Pilih Daftarkan.

8. Setelah aplikasi terdaftar, salin ID Aplikasi (klien) dari halaman Gambaran Umum.

9. Beralih ke tab browser dengan instans API Management Anda.

10. Di jendela Tambahkan penyedia identitas, tempelkan nilai ID Aplikasi (klien) ke dalam kotak ID Klien.

11. Beralih ke tab browser dengan pendaftaran Aplikasi.

12. Pilih pendaftaran aplikasi yang sesuai.

13. Di bawah bagian Kelola menu samping, pilih Sertifikat & rahasia.

14. Dari halaman Sertifikat & rahasia, pilih tombol Rahasia klien baru di bawah Rahasia klien.

    • Masukkan Deskripsi.
    • Pilih opsi apa pun untuk Kedaluwarsa.
    • Pilih Tambahkan.

15. Salin Nilai rahasia klien sebelum meninggalkan halaman. Anda akan membutuhkannya nanti.

16. Di bawah Kelola di menu samping, pilih Konfigurasi token>+ Tambahkan klaim opsional.

    1. Di Jenis token, pilih ID.
    2. Pilih (periksa) klaim berikut: surel, family_name, given_name.
    3. Pilih Tambahkan. Jika diminta, pilih Aktifkan surel Microsoft Graph, izin profil.

17. Beralih ke tab browser dengan instans API Management Anda.

18. Tempelkan rahasia ke bidang rahasia Klien di panel Tambahkan penyedia identitas.

    Penting

    Perbarui Rahasia klien sebelum kunci kedaluwarsa.

19. Di Penyewa masuk, tentukan nama penyewa atau ID yang akan digunakan untuk masuk ke Microsoft Entra. Jika tidak ada nilai yang ditentukan, titik akhir Umum digunakan.

20. Di Penyewa yang diizinkan, tambahkan nama penyewa atau ID penyewa Microsoft Entra tertentu untuk masuk ke Microsoft Entra.

21. Setelah Anda menentukan konfigurasi yang diinginkan, pilih Tambahkan.

22. Terbitkan ulang portal pengembang agar konfigurasi Microsoft Entra berlaku. Di menu sebelah kiri, di bawah Portal pengembang, pilih Gambaran umum portal>Terbitkan.

Setelah penyedia Microsoft Entra diaktifkan:

• Pengguna di penyewa Microsoft Entra yang ditentukan dapat masuk ke portal pengembang dengan menggunakan akun Microsoft Entra.
• Anda dapat mengelola konfigurasi Microsoft Entra di halaman Identitas portal>Pengembang di portal.
• Secara opsional, konfigurasikan pengaturan kredensial masuk lainnya dengan memilih Identitas>Pengaturan. Misalnya, Anda mungkin ingin mengalihkan pengguna anonim ke halaman kredensial masuk.
• Terbitkan ulang portal pengembang setelah perubahan konfigurasi apa pun.

Bermigrasi ke MSAL

Jika sebelumnya Anda mengonfigurasi aplikasi Microsoft Entra untuk masuk pengguna menggunakan ADAL, Anda dapat menggunakan portal untuk memigrasikan aplikasi ke MSAL dan memperbarui idP di API Management.

Memperbarui aplikasi Microsoft Entra untuk kompatibilitas MSAL

Untuk langkah-langkahnya, lihat Mengalihkan URI pengalihan ke jenis aplikasi satu halaman.

Memperbarui konfigurasi penyedia identitas

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Identitas.
2. Pilih ID Microsoft Entra dari daftar.
3. Di menu menurun Pustaka klien, pilih MSAL.
4. Pilih Perbarui.
5. Menerbitkan kembali portal pengembang Anda.

Menambahkan grup Microsoft Entra eksternal

Setelah mengaktifkan akses untuk pengguna di penyewa Microsoft Entra, Anda dapat:

• Tambahkan grup Microsoft Entra ke API Management. Grup yang ditambahkan harus berada di penyewa tempat instans API Management Anda disebarkan.
• Mengontrol visibilitas produk menggunakan grup Microsoft Entra.

1. Navigasikan ke halaman Pendaftaran Aplikasi untuk aplikasi yang Anda daftarkan di bagian sebelumnya.
2. Pilih Izin API.
3. Tambahkan izin aplikasi minimum berikut untuk Microsoft Graph API:
   • User.Read.All izin aplikasi – sehingga API Management dapat membaca keanggotaan grup pengguna untuk melakukan sinkronisasi grup pada saat pengguna masuk.
   • Group.Read.All izin aplikasi – sehingga API Management dapat membaca grup Microsoft Entra saat administrator mencoba menambahkan grup ke API Management menggunakan bilah Grup di portal.
4. Pilih Berikan persetujuan admin untuk {tenantname} sehingga Anda memberikan akses untuk semua pengguna di direktori ini.

Sekarang Anda dapat menambahkan grup Microsoft Entra eksternal dari tab Grup instans API Management Anda.

1. Pada Portal pengembang di menu, pilih Grup.

2. Pilih tombol Tambahkan grup Microsoft Entra.

   

3. Pilih Penyewa dari menu geser turun.

4. Cari dan pilih grup yang ingin Anda tambahkan.

5. Tekan tombol Pilih.

Setelah menambahkan grup Microsoft Entra eksternal, Anda dapat meninjau dan mengonfigurasi propertinya:

1. Pilih nama grup dari tab Grup.
2. Edit Nama dan Deskripsi informasi untuk grup.

Pengguna dari instans Microsoft Entra yang dikonfigurasi sekarang dapat:

• Masuk ke portal pengembang.
• Melihat dan berlangganan ke grup mana pun yang mereka miliki visibilitasnya.

Catatan

Pelajari selengkapnya tentang perbedaan antara jenis izin Didelegasikan dan Aplikasi dalam Izin dan persetujuan di artikel platform identitas Microsoft.

Menyinkronkan grup Microsoft Entra dengan API Management

Grup yang dikonfigurasi di Microsoft Entra harus disinkronkan dengan API Management sehingga Anda dapat menambahkannya ke instans Anda. Jika grup tidak disinkronkan secara otomatis, lakukan salah satu hal berikut ini untuk menyinkronkan informasi grup secara manual:

• Keluar dan masuk ke ID Microsoft Entra. Aktivitas ini biasanya memicu sinkronisasi grup.
• Pastikan bahwa penyewa masuk Microsoft Entra ditentukan dengan cara yang sama (menggunakan salah satu ID penyewa atau nama domain) di pengaturan konfigurasi Anda di API Management. Anda menentukan penyewa masuk di idP Microsoft Entra ID untuk portal pengembang dan saat Anda menambahkan grup Microsoft Entra ke API Management.

Portal pengembang: Menambahkan autentikasi akun Microsoft Entra

Di portal pengembang, Anda dapat masuk dengan MICROSOFT Entra ID menggunakan tombol Masuk: widget OAuth yang disertakan di halaman masuk konten portal pengembang default.

Meskipun akun baru akan secara otomatis dibuat saat pengguna baru masuk dengan ID Microsoft Entra, pertimbangkan untuk menambahkan widget yang sama ke halaman pendaftaran. Widget Formulir pendaftaran: OAuth menyajikan formulir yang digunakan untuk mendaftar dengan OAuth.

Penting

Anda perlu menerbitkan ulang portal agar perubahan ID Microsoft Entra diterapkan.

Konten terkait

• Pelajari selengkapnya tentang MICROSOFT Entra ID dan OAuth2.0.
• Pelajari selengkapnya tentang MSAL dan bermigrasi ke MSAL.
• Memecahkan masalah konektivitas jaringan ke Microsoft Graph dari dalam VNet.