Otorisasi akun pengembang menggunakan Microsoft Entra ID di Azure API Management

Dalam artikel ini, Anda akan mempelajari cara:

• Aktifkan akses ke portal pengembang untuk pengguna dari ID Microsoft Entra.
• Kelola grup pengguna Microsoft Entra dengan menambahkan grup eksternal yang berisi pengguna.

Untuk gambaran umum opsi untuk mengamankan portal pengembang, lihat Mengamankan akses ke portal pengembang API Management.

Penting

• Artikel ini telah diperbarui dengan langkah-langkah untuk mengonfigurasi aplikasi Microsoft Entra menggunakan Microsoft Authentication Library (MSAL).
• Jika sebelumnya Anda mengonfigurasi aplikasi Microsoft Entra untuk masuk pengguna menggunakan Azure AD Authentication Library (ADAL), kami sarankan Anda bermigrasi ke MSAL.

Prasyarat

• Menyelesaikan mulai cepat Membuat instans Azure API Management.

• Mengimpor dan menerbitkan instans Azure API Management.

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.

BERLAKU UNTUK: Pengembang | Standar | Premium

Membuka instans API Management Anda

1. Di portal Microsoft Azure, cari dan pilih layanan API Management.

   

2. Di halaman layanan API Management, pilih instans API Management Anda.

   

Mengaktifkan masuk pengguna menggunakan ID Microsoft Entra - portal

Untuk menyederhanakan konfigurasi, API Management dapat secara otomatis mengaktifkan aplikasi Microsoft Entra dan penyedia identitas untuk pengguna portal pengembang. Atau, Anda dapat mengaktifkan aplikasi dan penyedia identitas Microsoft Entra secara manual.

Mengaktifkan aplikasi microsoft Entra dan penyedia identitas secara otomatis

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Gambaran umum portal.

2. Pada halaman Gambaran umum portal, gulir ke bawah untuk Mengaktifkan masuk pengguna dengan ID Microsoft Entra.

3. Pilih Aktifkan ID Microsoft Entra.

4. Pada halaman Aktifkan ID Microsoft Entra, pilih Aktifkan ID Microsoft Entra.

5. Pilih Tutup.

   

Setelah penyedia Microsoft Entra diaktifkan:

• Pengguna dalam instans Microsoft Entra yang ditentukan dapat masuk ke portal pengembang dengan menggunakan akun Microsoft Entra.
• Anda dapat mengelola konfigurasi Microsoft Entra di halaman Identitas portal>Pengembang di portal.
• Secara opsional, konfigurasikan pengaturan kredensial masuk lainnya dengan memilih Identitas>Pengaturan. Misalnya, Anda mungkin ingin mengalihkan pengguna anonim ke halaman kredensial masuk.
• Terbitkan ulang portal pengembang setelah perubahan konfigurasi apa pun.

Mengaktifkan aplikasi microsoft Entra dan idP secara manual

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Identitas.

2. Pilih +Tambahkan dari atas untuk membuka panel Tambahkan penyedia identitas ke kanan.

3. Di bawah Jenis, pilih ID Microsoft Entra dari menu drop-down. Setelah dipilih, Anda akan dapat memasukkan informasi lain yang diperlukan.

   • Di menu menurun Pustaka klien, pilih MSAL.
   • Untuk menambahkan ID Klien dan Rahasia klien, lihat langkah-langkah nanti di artikel ini.

4. Simpan URL Pengalihan untuk nanti.

   

   Catatan

   Ada dua URL pengalihan:
   

   • URL Pengalihan menunjuk ke portal pengembang terbaru dari API Management.
   • URL pengalihan (portal tidak digunakan lagi) - menunjuk ke portal pengembang API Management yang tidak digunakan lagi.

   Disarankan untuk menggunakan URL Pengalihan portal pengembang terbaru.

5. Di browser Anda, buka portal Azure di tab baru.

6. Navigasi ke Pendaftaran aplikasi untuk mendaftarkan aplikasi di Active Directory.

7. Pilih Pendaftaran baru. Pada halaman Daftarkan aplikasi, atur nilai sebagai berikut:

   • Atur Nama ke nama yang bermakna, seperti portal pengembang
   • Atur Jenis akun yang didukung ke Akun di direktori organisasi mana pun.
   • Di URI Pengalihan, pilih Single-page application (SPA) dan tempel URL pengalihan yang Anda simpan dari langkah sebelumnya.
   • Pilih Daftarkan.

8. Setelah aplikasi terdaftar, salin ID Aplikasi (klien) dari halaman Gambaran Umum.

9. Beralih ke tab browser dengan instans API Management Anda.

10. Di jendela Tambahkan penyedia identitas, tempelkan nilai ID Aplikasi (klien) ke dalam kotak ID Klien.

11. Beralih ke tab browser dengan pendaftaran Aplikasi.

12. Pilih pendaftaran aplikasi yang sesuai.

13. Di bawah bagian Kelola menu samping, pilih Sertifikat & rahasia.

14. Dari halaman Sertifikat & rahasia, pilih tombol Rahasia klien baru di bawah Rahasia klien.

    • Masukkan Deskripsi.
    • Pilih opsi apa pun untuk Kedaluwarsa.
    • Pilih Tambahkan.

15. Salin Nilai rahasia klien sebelum meninggalkan halaman. Anda akan membutuhkannya nanti.

16. Di bawah Kelola dalam menu samping, pilih Autentikasi.

    1. Di bawah bagian Hibah implisit dan alur hibrid, centang kotak Token ID.
    2. Pilih Simpan.

17. Di bawah Kelola di menu samping, pilih Konfigurasi token>+ Tambahkan klaim opsional.

    1. Di Jenis token, pilih ID.
    2. Pilih (periksa) klaim berikut: surel, family_name, given_name.
    3. Pilih Tambahkan. Jika diminta, pilih Aktifkan surel Microsoft Graph, izin profil.

18. Beralih ke tab browser dengan instans API Management Anda.

19. Tempelkan rahasia ke bidang rahasia Klien di panel Tambahkan penyedia identitas.

    Penting

    Perbarui Rahasia klien sebelum kunci kedaluwarsa.

20. Di bidang Tambahkan penyewa yang diizinkan di panel IdP, tentukan domain instans Microsoft Entra yang ingin Anda beri akses ke API instans layanan API Management.

    • Anda dapat memisahkan beberapa domain dengan garis baru, spasi, atau koma.

    Catatan

    Anda bisa menentukan beberapa domain di bagian Penyewa yang Diizinkan. Administrasi global harus memberikan akses aplikasi ke data direktori sebelum pengguna dapat masuk dari domain yang berbeda dari domain pendaftaran aplikasi asli. Untuk memberikan izin, administrator global harus:

    1. Buka https://<URL of your developer portal>/aadadminconsent (misalnya, https://contoso.portal.azure-api.net/aadadminconsent).
    2. Masukkan nama domain penyewa Microsoft Entra yang ingin mereka beri akses.
    3. Pilih kirim.

21. Setelah Anda menentukan konfigurasi yang diinginkan, pilih Tambahkan.

22. Terbitkan ulang portal pengembang agar konfigurasi Microsoft Entra berlaku. Di menu sebelah kiri, di bawah Portal pengembang, pilih Gambaran umum portal>Terbitkan.

Setelah penyedia Microsoft Entra diaktifkan:

• Pengguna dalam instans Microsoft Entra yang ditentukan dapat masuk ke portal pengembang dengan menggunakan akun Microsoft Entra.
• Anda dapat mengelola konfigurasi Microsoft Entra di halaman Identitas portal>Pengembang di portal.
• Secara opsional, konfigurasikan pengaturan kredensial masuk lainnya dengan memilih Identitas>Pengaturan. Misalnya, Anda mungkin ingin mengalihkan pengguna anonim ke halaman kredensial masuk.
• Terbitkan ulang portal pengembang setelah perubahan konfigurasi apa pun.

Bermigrasi ke MSAL

Jika sebelumnya Anda mengonfigurasi aplikasi Microsoft Entra untuk masuk pengguna menggunakan ADAL, Anda dapat menggunakan portal untuk memigrasikan aplikasi ke MSAL dan memperbarui idP di API Management.

Memperbarui aplikasi Microsoft Entra untuk kompatibilitas MSAL

Untuk langkah-langkahnya, lihat Mengalihkan URI pengalihan ke jenis aplikasi satu halaman.

Memperbarui konfigurasi penyedia identitas

1. Di menu kiri instans API Management Anda, di bawah Portal pengembang, pilih Identitas.
2. Pilih ID Microsoft Entra dari daftar.
3. Di menu menurun Pustaka klien, pilih MSAL.
4. Pilih Perbarui.
5. Menerbitkan kembali portal pengembang Anda.

Menambahkan grup Microsoft Entra eksternal

Setelah mengaktifkan akses untuk pengguna di penyewa Microsoft Entra, Anda dapat:

• Tambahkan grup Microsoft Entra ke API Management.
• Mengontrol visibilitas produk menggunakan grup Microsoft Entra.

1. Navigasikan ke halaman Pendaftaran Aplikasi untuk aplikasi yang Anda daftarkan di bagian sebelumnya.
2. Pilih Izin API.
3. Tambahkan izin aplikasi minimum berikut untuk Microsoft Graph API:
   • User.Read.All izin aplikasi – sehingga API Management dapat membaca keanggotaan grup pengguna untuk melakukan sinkronisasi grup pada saat pengguna masuk.
   • Group.Read.All izin aplikasi – sehingga API Management dapat membaca grup Microsoft Entra saat administrator mencoba menambahkan grup ke API Management menggunakan bilah Grup di portal.
4. Pilih Berikan persetujuan admin untuk {tenantname} sehingga Anda memberikan akses untuk semua pengguna di direktori ini.

Sekarang Anda dapat menambahkan grup Microsoft Entra eksternal dari tab Grup instans API Management Anda.

1. Pada Portal pengembang di menu, pilih Grup.

2. Pilih tombol Tambahkan grup Microsoft Entra.

   

3. Pilih Penyewa dari menu geser turun.

4. Cari dan pilih grup yang ingin Anda tambahkan.

5. Tekan tombol Pilih.

Setelah menambahkan grup Microsoft Entra eksternal, Anda dapat meninjau dan mengonfigurasi propertinya:

1. Pilih nama grup dari tab Grup.
2. Edit Nama dan Deskripsi informasi untuk grup.

Pengguna dari instans Microsoft Entra yang dikonfigurasi sekarang dapat:

• Masuk ke portal pengembang.
• Melihat dan berlangganan ke grup mana pun yang mereka miliki visibilitasnya.

Catatan

Pelajari selengkapnya tentang perbedaan antara jenis izin Didelegasikan dan Aplikasi dalam Izin dan persetujuan di artikel platform identitas Microsoft.

Menyinkronkan grup Microsoft Entra dengan API Management

Grup yang dikonfigurasi di Microsoft Entra harus disinkronkan dengan API Management sehingga Anda dapat menambahkannya ke instans Anda. Jika grup tidak disinkronkan secara otomatis, lakukan salah satu hal berikut ini untuk menyinkronkan informasi grup secara manual:

• Keluar dan masuk ke ID Microsoft Entra. Aktivitas ini biasanya memicu sinkronisasi grup.
• Pastikan bahwa penyewa masuk Microsoft Entra ditentukan dengan cara yang sama (menggunakan salah satu ID penyewa atau nama domain) di pengaturan konfigurasi Anda di API Management. Anda menentukan penyewa masuk di idP Microsoft Entra ID untuk portal pengembang dan saat Anda menambahkan grup Microsoft Entra ke API Management.

Portal pengembang: Menambahkan autentikasi akun Microsoft Entra

Di portal pengembang, Anda dapat masuk dengan MICROSOFT Entra ID menggunakan tombol Masuk: widget OAuth yang disertakan di halaman masuk konten portal pengembang default.

Meskipun akun baru akan secara otomatis dibuat saat pengguna baru masuk dengan ID Microsoft Entra, pertimbangkan untuk menambahkan widget yang sama ke halaman pendaftaran. Widget Formulir pendaftaran: OAuth menyajikan formulir yang digunakan untuk mendaftar dengan OAuth.

Penting

Anda perlu menerbitkan ulang portal agar perubahan ID Microsoft Entra diterapkan.

Konten terkait

• Pelajari selengkapnya tentang MICROSOFT Entra ID dan OAuth2.0.
• Pelajari selengkapnya tentang MSAL dan bermigrasi ke MSAL.
• Memecahkan masalah konektivitas jaringan ke Microsoft Graph dari dalam VNet.