Авторизация учетных записей разработчиков через Microsoft Entra ID в службе управления Azure API

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовая версия 2 | Стандартный | Стандарт версия 2 | Премиум | Премиум версия 2

В этой статье вы узнаете, как:

• Включите доступ к порталу разработчика для пользователей в арендаторе Microsoft Entra ID вашей организации или других арендаторах Microsoft Entra ID.
• Управление группами пользователей Microsoft Entra путем добавления внешних групп, содержащих пользователей.

Для получения общих сведений о вариантах защиты портала разработчика см. статью Безопасный доступ к порталу разработчика "Управление API".

Внимание

• Эта статья обновляется с помощью шагов по настройке приложения Microsoft Entra с помощью библиотеки проверки подлинности Майкрософт (MSAL).
• Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью библиотеки проверки подлинности Azure AD (ADAL), перейдите в MSAL.

Сценарии, связанные с внешним идентификатором Майкрософт для входа на портал разработчика, см. в статье "Авторизация доступа к порталу разработчика управления API" с помощью внешнего идентификатора Microsoft Entra External ID.

Подсказка

Теперь управление API поддерживает доступ к порталу разработчика для пользователей из нескольких клиентов Microsoft Entra ID через одну регистрацию приложения и настройку идентичности. В настоящее время это поддерживается на уровнях "Разработчик", "Стандартный" и "Премиум".

Предварительные условия

• Выполните краткое руководство по созданию экземпляра управления API Azure.

• Импортируйте и опубликуйте API в экземпляре службы "Управление API Azure".

• Если вы создали экземпляр на уровне версии 2, включите портал разработчика. Дополнительные сведения см. в руководстве по доступу и настройке портала разработчика.

Перейдите к инстансу управления API.

1. На портале Azure найдите и выберите службы управления API:

   

2. На странице управления API выберите ваш экземпляр службы управления API:

   

Включение входа в систему пользователей с помощью Microsoft Entra ID — портал

Чтобы упростить настройку, Управление API может автоматически включить приложение Microsoft Entra и поставщика удостоверений для пользователей портала разработчика. Кроме того, можно вручную включить приложение Microsoft Entra и настроить поставщика удостоверений.

Автоматическое включение приложения Microsoft Entra и поставщика удостоверений

Выполните следующие действия, чтобы включить идентификатор Microsoft Entra на портале разработчика:

1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Обзор портала.

2. На странице обзора портала прокрутите вниз, чтобы включить вход пользователя с помощью идентификатора Microsoft Entra.

3. Выберите Включить Microsoft Entra ID.

4. На странице "Включить идентификатор Microsoft Entra ID" выберите "Включить идентификатор Microsoft Entra ID".

5. Выберите Закрыть.

   

После включения поставщика Microsoft Entra:

• Пользователи в клиенте Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
• Вы можете управлять конфигурацией поставщика удостоверений Microsoft Entra на странице разработчика>удостоверений в портале.
• При необходимости обновите регистрацию приложения в идентификаторе Microsoft Entra для поддержки нескольких клиентов, как описано в разделе "Настройка регистрации приложений для нескольких клиентов". Имя регистрации приложения по умолчанию, созданное службой управления API, совпадает с именем экземпляра службы управления API.
• При необходимости настройте другие параметры входа, выбрав Аккаунты>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
• Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Вручную включите приложение Microsoft Entra и поставщика удостоверений.

Кроме того, вручную включите идентификатор Microsoft Entra на портале разработчика, зарегистрировав приложение самостоятельно в идентификаторе Microsoft Entra и настроив поставщика удостоверений для портала разработчика.

1. В левом меню вашей инстанции Управления API, под Порталом разработчика, выберите Удостоверения.

2. Нажмите кнопку +Добавить вверху, чтобы открыть область "Добавить поставщика удостоверений " справа.

3. В разделе " Тип" выберите идентификатор Microsoft Entra в раскрывающемся меню. При выборе этого параметра можно ввести другие необходимые сведения.

   • В раскрывающемся списке Клиентской библиотеки выберите MSAL.
   • Сведения о добавлении Идентификатора клиента и Секрета клиента см. далее в этой статье.

4. Сохраните URL-адрес перенаправления для дальнейшего использования.

   

5. В браузере откройте портал Azure в новой вкладке.

6. Перейдите к регистрации приложений , чтобы зарегистрировать приложение в идентификаторе Microsoft Entra.

7. Выберите Создать регистрацию. На странице Регистрация приложения задайте необходимые значения следующим образом.

   • В области Имя укажите понятное имя, например developer-portal.
   • Задайте поддерживаемые типы учетных записей, сделайте выбор подходящим для ваших сценариев. Если вы хотите разрешить пользователям в нескольких арендаторах Microsoft Entra ID доступ к порталу разработчика, выберите Учетные записи в любом организационном каталоге (Мультиарендатор).
   • В области URI перенаправления выберите Одностраничное приложение (SPA) и вставьте URL-адрес перенаправления, сохраненный на предыдущем шаге.
   • Выберите Зарегистрировать.

8. После регистрации приложения скопируйте идентификатор приложения (клиента) на странице обзора .

9. Переключитесь на вкладку браузера с вашим экземпляром управления API.

10. В окне Добавление поставщика удостоверений вставьте значение ID приложения (клиента) в поле Идентификатор клиента.

11. Перейдите на вкладку браузера с регистрацией приложения.

12. Выберите соответствующую регистрацию приложения.

13. В разделе "Управление" бокового меню выберите сертификаты и секреты.

14. На странице "Сертификаты и секреты" нажмите кнопку "Новый секрет клиента" в разделе "Секреты клиента".

    • Введите Описание.
    • Выберите любое значение для параметра Истекает.
    • Нажмите кнопку Добавить.

15. Скопируйте секретное значение клиента перед уходом со страницы. Он понадобится вам позже.

16. В разделе Управление в боковом меню выберите Конфигурация токена>+ Добавить необязательное утверждение.

    1. В разделе Тип токена выберите ИД.
    2. Выберите (установите флажки) следующие утверждения: email, family_name, given_name.
    3. Выберите Добавить. При появлении запроса выберите Включить разрешение на использование электронной почты и профиля Microsoft Graph.

17. Переключитесь на вкладку браузера с вашим экземпляром управления API.

18. Вставьте секрет в поле Секрет клиента в области Добавление поставщика удостоверений.

    Внимание

    Обновите секрет клиента до истечения срока действия ключа.

19. Укажите в Signin tenant имя клиента или идентификатор для входа в Microsoft Entra. Если значение не указано, используется общая конечная точка.

20. В разрешенных клиентах добавьте одно или несколько определенных имен клиентов Microsoft Entra или идентификаторов для входа в Microsoft Entra.

    Примечание.

    При указании дополнительных клиентов регистрация приложения должна быть настроена для поддержки нескольких клиентов. Дополнительные сведения см. в разделе "Настройка регистрации приложений для нескольких клиентов".

21. После указания требуемой конфигурации выберите Добавить.

22. Повторно опубликуйте портал разработчика, чтобы изменения конфигурации Microsoft Entra вступили в силу. В меню слева в разделе Портал разработчика щелкните Обзор портала>Опубликовать.

После включения поставщика Microsoft Entra:

• Пользователи в указанных клиентах Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
• Вы можете управлять конфигурацией Microsoft Entra на странице удостоверений портала>разработчика на портале.
• При необходимости настройте другие параметры входа, выбрав Аккаунты>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
• Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Перейти на MSAL

Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью ADAL, вы можете использовать портал для переноса приложения в MSAL и обновления поставщика удостоверений в службе управления API.

Обновление приложения Microsoft Entra для совместимости MSAL

См. шаги в разделе Переключение URI перенаправления на тип одностраничного приложения.

Обновление конфигурации поставщика удостоверений

1. В левом меню вашей инстанции Управления API, под Порталом разработчика, выберите Удостоверения.
2. Выберите идентификатор Microsoft Entra из списка.
3. В раскрывающемся списке Клиентской библиотеки выберите MSAL.
4. Выберите Обновить.
5. Повторно опубликуйте портал разработчика.

Настройка доступа пользователей в нескольких клиентах Microsoft Entra

Примечание.

Поддержка доступа к порталу разработчика пользователями из нескольких клиентов идентификатора Microsoft Entra ID в настоящее время доступна на уровнях "Разработчик управления API", "Стандартный" и "Премиум".

Вы можете включить доступ к порталу разработчика пользователями из нескольких клиентов Идентификатора Microsoft Entra ID. Для этого выполните указанные ниже действия.

• Настройте регистрацию приложений для нескольких клиентов.
• Обновите конфигурацию поставщика удостоверений Microsoft Entra ID для портала разработчика, чтобы добавить еще одного арендатора.

Настройка регистрации приложений для нескольких клиентов

Регистрация приложения, настроенная для поставщика удостоверений, должна поддерживать несколько клиентов. Это можно сделать с помощью одного из следующих способов:

• При создании регистрации приложения установите Поддерживаемые типы учетных записей в значение Учетные записи в любом организационном каталоге (любой арендатор Microsoft Entra ID — мультиарендатор).
• Если вы ранее настроили регистрацию приложения для одного клиента, обновите параметр "Поддерживаемые типы учетных записей " на странице "Управление>проверкой подлинности " регистрации приложения.

Обновление конфигурации поставщика удостоверений Microsoft Entra ID для нескольких арендаторов

Измените конфигурацию поставщика удостоверений, чтобы добавить другого арендатора:

1. Войдите в портал Azure и перейдите к вашему экземпляру службы управления API.
2. На портале разработчика выберите "Удостоверения".
3. Выберите идентификатор Microsoft Entra из списка.
4. В поле идентификатора клиента добавьте дополнительные идентификаторы клиента, разделенные запятыми.
5. Обновите значение клиента Signin до одного из настроенных клиентов.
6. Выберите Обновить.
7. Повторно опубликуйте портал разработчика.

Добавление внешней группы Microsoft Entra

После включения доступа для пользователей в клиенте Microsoft Entra вы можете:

• Добавьте группы Microsoft Entra в Управление API. Необходимо добавить группы в тенант, где вы развернули экземпляр API Management.
• Управление видимостью продукта с помощью групп Microsoft Entra.

1. Перейдите на страницу регистрации приложений для приложения, зарегистрированного в предыдущем разделе.
2. Выберите Разрешения API.
3. Добавьте следующие минимальные разрешения приложения для API Microsoft Graph:
   • User.Read.All разрешение приложения — чтобы управление API могло считывать членство пользователя в группе и выполнять синхронизацию групп при входе пользователя.
   • Group.Read.All разрешение для приложения, чтобы Управление API могло считывать группы Microsoft Entra, когда администратор пытается добавить группу в Управление API, используя раздел "Группы" на портале.
4. Выберите "Предоставить согласие администратора" для {tenantname} , чтобы предоставить доступ всем пользователям в этом каталоге.

Теперь можно добавить внешние группы Microsoft Entra на вкладке "Группы" экземпляра управления API.

1. В разделе Портал разработчика бокового меню выберите Группы.

2. Нажмите кнопку Добавить группу Microsoft Entra.

   

3. Выберите Арендатор из раскрывающегося списка.

4. Найдите и выберите группу для добавления.

5. Нажмите кнопку Выбрать.

После добавления внешней группы Microsoft Entra можно просмотреть и настроить его свойства:

1. Выберите имя группы на вкладке Группы.
2. Измените имя и описание группы.

Теперь пользователи из настроенного экземпляра Microsoft Entra могут:

• Войдите на портал разработчика.
• Просматривать и подписываться на любые группы, которые доступны им.

Примечание.

Узнайте больше о различиях между делегированными разрешениями и разрешениями приложений из статьи Разрешения и согласие на платформе удостоверений Майкрософт.

Синхронизация групп Microsoft Entra в API Management

Группы, настроенные в Microsoft Entra, должны синхронизироваться с менеджментом API, чтобы можно было добавить их в ваш экземпляр. Если группы не синхронизируются автоматически, выполните одно из следующих действий, чтобы вручную синхронизировать сведения о группе:

• Выйдите из учетной записи и войдите в учетную запись Microsoft Entra. Обычно это действие активирует синхронизацию групп.
• Убедитесь, что тенант входа Microsoft Entra указан таким же образом (используя один из идентификаторов тенанта или доменного имени) в параметрах конфигурации в API Management. Вы указываете арендатора для входа в поставщике удостоверений Microsoft Entra ID в портале разработчика и при добавлении группы Microsoft Entra в управление API.

Портал разработчика: Добавить проверку подлинности учетной записи Microsoft Entra

На портале разработчика можно включить вход с помощью идентификатора Microsoft Entra с помощью кнопки входа: мини-приложение OAuth , включенное на страницу входа на контент портала разработчика по умолчанию.

Затем пользователь может войти с помощью идентификатора Microsoft Entra следующим образом:

1. Перейдите на портал разработчика. Выберите Вход.

2. На странице входа выберите идентификатор Microsoft Entra. При нажатии этой кнопки откроется страница входа в систему Идентификатора Microsoft Entra.

   

   Подсказка

   Если для доступа настроено несколько клиентов, на странице входа появится несколько кнопки идентификатора Microsoft Entra. Каждая кнопка помечена именем клиента.

3. В окне входа для клиента Microsoft Entra ответьте на запросы. После завершения входа пользователь перенаправляется на портал разработчика.

Теперь пользователь вошел на портал разработчика и добавлен в качестве нового идентификатора пользователя управления API в Users.

Хотя новая учетная запись создается автоматически при входе нового пользователя с помощью идентификатора Microsoft Entra, рассмотрите возможность добавления того же мини-приложения на страницу регистрации. Виджет Форма регистрации: OAuth представляет форму для регистрации с помощью OAuth.

Внимание

Чтобы изменения Microsoft Entra ID вступили в силу, необходимо повторно опубликовать портал.

Связанный контент

• Дополнительные сведения об идентификаторе Microsoft Entra и OAuth2.0.
• Узнайте больше о MSAL и миграции в MSAL.
• Устранение неполадок с сетевым подключением к Microsoft Graph из виртуальной сети.