Бөлісу құралы:


Авторизация учетных записей разработчиков через Microsoft Entra ID в службе управления Azure API

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовая версия 2 | Стандартный | Standard v2 | Премия

В этой статье вы узнаете, как выполнять следующие задачи.

  • Включите доступ к порталу разработчика для пользователей из идентификатора Microsoft Entra.
  • Управление группами пользователей Microsoft Entra путем добавления внешних групп, содержащих пользователей.

Для получения общих сведений о вариантах защиты портала разработчика см. статью Безопасный доступ к порталу разработчика "Управление API".

Внимание

  • Эта статья была обновлена с инструкциями по настройке приложения Microsoft Entra с помощью библиотеки проверки подлинности Майкрософт (MSAL).
  • Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью библиотеки аутентификация Azure AD (ADAL), рекомендуется выполнить миграцию в MSAL.

Необходимые компоненты

  • Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  • Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

    • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

    • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

    • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Перейдите к экземпляру службы управления API.

  1. На портале Azure найдите и выберите службы Управление API.

    Выбор

  2. На странице Службы Управления API выберите экземпляр Управления API.

    Выбор экземпляра службы

Включение входа пользователя с помощью идентификатора Microsoft Entra — портал

Чтобы упростить настройку, Управление API может автоматически включить приложение Microsoft Entra и поставщик удостоверений для пользователей портала разработчика. Кроме того, можно вручную включить приложение Microsoft Entra и поставщик удостоверений.

Автоматическое включение приложения Microsoft Entra и поставщика удостоверений

  1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Обзор портала.

  2. На странице обзора портала прокрутите вниз, чтобы включить вход пользователя с помощью идентификатора Microsoft Entra.

  3. Выберите "Включить идентификатор Microsoft Entra".

  4. На странице "Включить идентификатор Microsoft Entra ID" выберите "Включить идентификатор Microsoft Entra".

  5. Выберите Закрыть.

    Снимок экрана: включение идентификатора Microsoft Entra на странице обзора портала разработчика.

После включения поставщика Microsoft Entra:

  • Пользователи в указанном экземпляре Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
  • Вы можете управлять конфигурацией Microsoft Entra на странице удостоверений портала>разработчика на портале.
  • При необходимости настройте другие параметры входа, выбрав Удостоверения>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
  • Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Включение приложения Microsoft Entra и поставщика удостоверений вручную

  1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Удостоверения.

  2. Выберите + Добавить вверху, чтобы открыть область Добавление поставщика удостоверений справа.

  3. В разделе " Тип" выберите идентификатор Microsoft Entra в раскрывающемся меню. После выбора вы сможете ввести другие необходимые сведения,

    • В раскрывающемся списке Клиентской библиотеки выберите MSAL.
    • Сведения о добавлении Идентификатора клиента и Секрета клиента см. далее в этой статье.
  4. Сохраните URL-адрес перенаправления для дальнейшего использования.

    Снимок экрана: добавление поставщика удостоверений на портале Azure.

  5. В браузере откройте портал Azure в новой вкладке.

  6. Выберите Регистрация приложений, чтобы зарегистрировать приложение в Active Directory.

  7. Выберите Создать регистрацию. На странице Регистрация приложения задайте необходимые значения следующим образом.

    • В области Имя укажите понятное имя, например developer-portal.
    • Измените значение параметра Поддерживаемые типы учетных записей на Учетные записи в любом каталоге организации.
    • В области URI перенаправления выберите Одностраничное приложение (SPA) и вставьте URL-адрес перенаправления, сохраненный на предыдущем шаге.
    • Выберите Зарегистрировать.
  8. После регистрации приложения скопируйте идентификатор приложения (клиента) на странице Обзор.

  9. Перейдите на вкладку браузера с экземпляром Управления API.

  10. В окне Добавление поставщика удостоверений вставьте значение идентификатора приложения (клиента) в поле Идентификатор клиента.

  11. Перейдите на вкладку браузера с регистрацией приложения.

  12. Выберите соответствующую регистрацию приложения.

  13. В разделе "Управление" бокового меню выберите сертификаты и секреты.

  14. На странице "Сертификаты и секреты" нажмите кнопку "Новый секрет клиента" в разделе "Секреты клиента".

    • Введите Описание.
    • Выберите любое значение для параметра Истекает.
    • Нажмите кнопку Добавить.
  15. Скопируйте значение секрета клиента и закройте страницу. Оно понадобится вам позднее.

  16. В разделе Управление в боковом меню выберите Конфигурация токена>+ Добавить необязательное утверждение.

    1. В разделе Тип токена выберите ИД.
    2. Выберите (установите флажки) следующие утверждения: email, family_name, given_name.
    3. Выберите Добавить. При появлении запроса выберите Turn on the Microsoft Graph email, profile permission (Включить разрешение профиля, электронной почты Microsoft Graph).
  17. Перейдите на вкладку браузера с экземпляром Управления API.

  18. Вставьте секрет в поле Секрет клиента в области Добавление поставщика удостоверений.

    Внимание

    Обновите секрет клиента до истечения срока действия ключа.

  19. В клиенте signin укажите имя клиента или идентификатор для входа в Microsoft Entra. Если значение не указано, используется общая конечная точка.

  20. В разрешенных клиентах добавьте определенные имена клиентов Microsoft Entra или идентификаторы для входа в Microsoft Entra.

  21. После указания требуемой конфигурации выберите Добавить.

  22. Повторно опубликуйте портал разработчика для настройки Microsoft Entra, чтобы ввести в силу. В меню слева в разделе Портал разработчика щелкните Обзор портала>Опубликовать.

После включения поставщика Microsoft Entra:

  • Пользователи в указанных клиентах Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
  • Вы можете управлять конфигурацией Microsoft Entra на странице удостоверений портала>разработчика на портале.
  • При необходимости настройте другие параметры входа, выбрав Удостоверения>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
  • Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Миграция в MSAL

Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью ADAL, вы можете использовать портал для переноса приложения в MSAL и обновления поставщика удостоверений в Управление API.

Обновление приложения Microsoft Entra для совместимости MSAL

Инструкции см. в разделе Переключение URI перенаправления на тип одностраничного приложения.

Обновление конфигурации поставщика удостоверений

  1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Удостоверения.
  2. Выберите идентификатор Microsoft Entra из списка.
  3. В раскрывающемся списке Клиентской библиотеки выберите MSAL.
  4. Выберите Обновить.
  5. Повторно опубликуйте портал разработчика.

Добавление внешней группы Microsoft Entra

Теперь, когда вы включили доступ для пользователей в клиенте Microsoft Entra, вы можете:

  • Добавьте группы Microsoft Entra в Управление API. Добавленные группы должны находиться в клиенте, где развертывается экземпляр Управление API.
  • Управление видимостью продукта с помощью групп Microsoft Entra.
  1. Перейдите на страницу "Регистрация приложений" для приложения, зарегистрированного в предыдущем разделе.
  2. Выберите Разрешения API.
  3. Добавьте следующие минимальные разрешения приложения для API Microsoft Graph:
    • User.Read.Allразрешение приложения — поэтому Управление API может считывать членство пользователя в группе для выполнения синхронизации групп во время входа пользователя.
    • Group.Read.Allразрешение приложения — поэтому Управление API может считывать группы Microsoft Entra, когда администратор пытается добавить группу в Управление API с помощью колонки "Группы" на портале.
  4. Выберите Предоставить согласие администратора для {имя_клиента}, чтобы предоставить доступ всем пользователям в этом каталоге.

Теперь можно добавить внешние группы Microsoft Entra на вкладке "Группы" Управление API экземпляра.

  1. В разделе Портал разработчика бокового меню выберите Группы.

  2. Нажмите кнопку "Добавить группу Записей Майкрософт".

    Снимок экрана: кнопка

  3. Выберите Арендатор из раскрывающегося списка.

  4. Найдите и выберите группу для добавления.

  5. Нажмите кнопку Выбрать.

После добавления внешней группы Microsoft Entra можно просмотреть и настроить его свойства:

  1. Выберите имя группы на вкладке Группы.
  2. Измените имя и описание группы.

Теперь пользователи из настроенного экземпляра Microsoft Entra могут:

  • Входить на портал разработчика.
  • Просматривать любые группы, которые они могут видеть, и подписываться на них.

Примечание.

Узнайте больше о различиях между делегированными разрешениями и разрешениями приложений из статьи Разрешения и согласие на платформе удостоверений Майкрософт.

Синхронизация групп Microsoft Entra с Управление API

Группы, настроенные в Microsoft Entra, должны синхронизироваться с Управление API, чтобы их можно было добавить в экземпляр. Если группы не синхронизируются автоматически, выполните одно из следующих действий, чтобы синхронизировать сведения о группах вручную:

  • Выйдите и войдите в идентификатор Microsoft Entra. Обычно это действие активирует синхронизацию групп.
  • Убедитесь, что клиент входа Microsoft Entra указан таким же образом (используя один из идентификаторов клиента или доменного имени) в параметрах конфигурации в Управление API. Вы указываете клиент входа в поставщик удостоверений Идентификатора Microsoft Entra для портала разработчика и при добавлении группы Microsoft Entra в Управление API.

Портал разработчика. Добавление проверки подлинности учетной записи Microsoft Entra

На портале разработчика можно войти с помощью идентификатора Microsoft Entra с помощью кнопки входа: мини-приложение OAuth , включенное на страницу входа содержимого портала разработчика по умолчанию.

Снимок экрана: мини-приложение OAuth на портале разработчика.

Хотя новая учетная запись будет автоматически создана при входе нового пользователя с помощью идентификатора Microsoft Entra, рассмотрите возможность добавления того же мини-приложения на страницу регистрации. Виджет Форма регистрации: OAuth представляет форму для регистрации с помощью OAuth.

Внимание

Чтобы изменения идентификатора Записи Майкрософт вступили в силу, необходимо повторно опубликовать портал .