Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
SI APPLICA A: tutti i livelli di Gestione API
Questo articolo spiega come configurare i provider di identità per le connessioni gestite nell'istanza di Azure API Management. Vengono visualizzate le impostazioni per i provider comuni seguenti:
- Microsoft Entra
- OAuth 2 generico
Configurare un provider di credenziali in Gestione credenziali nell'istanza di Gestione API. Per un esempio dettagliato di configurazione di un provider e di una connessione Microsoft Entra, vedere Configurare gestione credenziali - Microsoft Graph API.
Prerequisiti
Per configurare uno dei provider supportati in Gestione API, configurare prima di tutto un'app OAuth 2.0 nel provider di identità che verrà usata per autorizzare l'accesso alle API. Per informazioni dettagliate sulla configurazione, vedere la documentazione per sviluppatori del provider.
Se si sta creando un provider di credenziali che usa il tipo di concessione del codice di autorizzazione, configurare un URL di reindirizzamento (talvolta denominato URL di callback di autorizzazione o un nome simile) nell'app. Per il valore, immettere
https://authorization-manager.consent.azure-apim.net/redirect/apim/<API-management-instance-name>.A seconda dello scenario, configurare le impostazioni dell'app come ambiti (autorizzazioni API).
Recuperare minimamente le credenziali dell'app seguenti che verranno configurate in Gestione API: l'ID client e il segreto client dell'app (segreto client non necessario per le credenziali di identità federate).
A seconda del provider e dello scenario, potrebbe essere necessario recuperare altre impostazioni, ad esempio GLI URL o gli ambiti dell'endpoint di autorizzazione.
Gli endpoint di autorizzazione del provider devono essere raggiungibili tramite Internet dall'istanza di Gestione API. Se l'istanza di Gestione API è protetta in una rete virtuale, configurare regole di rete o firewall per consentire l'accesso agli endpoint del provider.
Inoltre, le richieste di token devono uscire dalla rete del cliente all'endpoint di gestione delle credenziali, che rimane in una rete Microsoft. Per raggiungere l'endpoint di Gestione credenziali, consentire l'accesso in uscita dalla rete virtuale al tag del servizio AzureConnections sulla porta 443.
provider Microsoft Entra
La gestione delle credenziali di API Management supporta il provider di identità Microsoft Entra, il servizio di gestione delle identità in Azure che fornisce funzionalità di gestione delle identità e controllo degli accessi. Consente agli utenti di accedere in modo sicuro tramite protocolli standard del settore.
Tipi di concessione supportati: codice di autorizzazione, credenziali client, codice di autorizzazione con credenziali di identità federate
Note
Attualmente, il provider di credenziali Microsoft Entra supporta solo Azure Active Directory endpoint v1.0.
impostazioni del provider Microsoft Entra
| Proprietà | Descrizione | Obbligatorio | Predefinito |
|---|---|---|---|
| Nome provider credenziali | Nome della risorsa del provider di credenziali in Gestione API. | Sì | N/D |
| Provider di identità | Selezionare Azure Active Directory v1. | Sì | N/D |
| Tipo di concessione | Tipo di concessione di autorizzazione OAuth 2.0 da usare. A seconda dello scenario, selezionare Codice di autorizzazione, Credenziali client o Codice di autorizzazione con credenziali di identità federate. |
Sì | Codice di autorizzazione |
| URL di autorizzazione | URL di autorizzazione. | No | https://login.microsoftonline.com |
| Client ID | ID applicazione (client) usato per identificare l'app Microsoft Entra. | Sì | N/D |
| Segreto del cliente | Il segreto del client utilizzato per l'app Microsoft Entra. | Sì per il codice di autorizzazione e i tipi di concessione delle credenziali client, no per le credenziali di identità federate | N/D |
| URL risorsa | URL della risorsa che richiede l'autorizzazione. Esempio: https://graph.microsoft.com |
Sì | N/D |
| ID tenant | ID tenant dell'app Microsoft Entra. | No | comune |
| Ambiti | Una o più autorizzazioni API per l'app Microsoft Entra, separate da spazi. Esempio: ChannelMessage.Read.All User.Read |
No | Autorizzazioni API impostate nell'app Microsoft Entra |
Impostazioni aggiuntive per il codice di autorizzazione con tipo di concessione delle credenziali di identità federate:
| Proprietà | Descrizione | Obbligatorio | Predefinito |
|---|---|---|---|
| Emittente | URL dell'emittente del provider di identità federato. | Sì | https://login.microsoftonline.com/<tenant-id>/v2.0 |
| Identificatore del soggetto | Identificatore del soggetto generato da Gestione API per la gestione delle credenziali. | Sì | N/D |
| Destinatari | Richiesta audience per i token del provider di identità federato. | Sì | api://AzureADTokenExchange |
Provider generici OAuth
È possibile usare tre provider generici per la configurazione delle connessioni:
- OAuth 2.0 generica
- OAuth 2.0 generico con PKCE
- OAuth 2.1 generico con PKCE con registrazione client dinamica
Un provider generico consente di usare il proprio provider di identità OAuth, in base alle esigenze specifiche.
Note
È consigliabile usare un provider PKCE per migliorare la sicurezza se il provider di identità lo supporta. Per altre informazioni, vedere Proof Key for Code Exchange.
Tipi di concessione supportati: codice di autorizzazione, credenziali client (dipende dal provider)
Impostazioni del provider di credenziali generico
| Proprietà | Descrizione | Obbligatorio | Predefinito |
|---|---|---|---|
| Nome provider credenziali | Nome della risorsa del provider di credenziali in Gestione API. | Sì | N/D |
| Provider di identità | Selezionare OAuth 2.0, OAuth 2.0 con PKCE o OAuth 2.1 con PKCE con DCR. | Sì | N/D |
| Tipo di concessione | Tipo di concessione di autorizzazione OAuth 2.0 da usare. A seconda dello scenario e del provider di identità, selezionare codice di autorizzazione o credenziali client. |
Sì | Codice di autorizzazione |
| URL di autorizzazione | URL dell'endpoint di autorizzazione. | Sì, per PKCE | UNUSED per OAuth 2.0 |
| Client ID | ID usato per identificare un'app nel server di autorizzazione del provider di identità. | Sì | N/D |
| Segreto del cliente | Segreto usato dall'app per l'autenticazione con il server di autorizzazione del provider di identità. | Sì | N/D |
| Aggiornare l'URL | URL a cui l'app effettua una richiesta per scambiare un token di aggiornamento per un token di accesso rinnovato. | Sì, per PKCE | UNUSED per OAuth 2.0 |
| Server URL | URL del server di base. | Sì, per OAuth 2.1 con PKCE con DCR | N/D |
| Token URL | URL nel server di autorizzazione del provider di identità usato per richiedere token a livello di codice. | Sì | N/D |
| Ambiti | Una o più azioni specifiche che l'app può eseguire o informazioni che possono richiedere per conto di un utente da un'API, separate da spazi. Esempio: user web api openid |
No | N/D |
Altri provider di identità
Gestione API supporta diversi provider per le offerte SaaS più diffuse, tra cui GitHub, LinkedIn e altri. È possibile selezionare da un elenco di questi provider nel portale di Azure quando si crea un provider di credenziali.
Tipi di concessione supportati: codice di autorizzazione
Le impostazioni necessarie per questi provider variano a seconda del provider, ma sono simili a quelle per i provider OAuth generici. Consultare la documentazione per gli sviluppatori per ogni provider.
Note
Attualmente, il provider Salesforce non include un'attestazione di scadenza nei token. Di conseguenza, Gestione credenziali non riesce a rilevare quando questi token scadono e non espone un meccanismo per forzare l'aggiornamento. Con il provider Salesforce è necessaria la logica di aggiornamento personalizzata per riautorizzare manualmente la connessione per ottenere un nuovo token alla scadenza del token corrente.
Contenuti correlati
- Altre informazioni sulla gestione delle connessioni in Gestione API.
- Creare una connessione per Microsoft Graph API o GitHub API.