Как авторизовать учетные записи разработчиков с использованием внешних поставщиков удостоверений в Microsoft Entra External ID

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовая версия 2 | Стандартный | Стандарт версия 2 | Премиум | Премиум версия 2

Внешний идентификатор Microsoft Entra — это решение для управления облачными удостоверениями, которое позволяет внешним удостоверениям безопасно получать доступ к приложениям и ресурсам. Его можно использовать для управления доступом к порталу разработчика службы "Управление API" внешними удостоверениями.

Общие сведения о вариантах защиты доступа к порталу разработчика см. в статье "Безопасный доступ к порталу разработчика службы "Управление API".

В настоящее время Управление API поддерживает внешние поставщики идентификации в Microsoft Entra External ID при условии настройки в клиенте рабочей группы Microsoft Entra ID. Например, если вы предоставляете доступ к порталу разработчика сотрудникам в клиенте вашей корпоративной сети, например, компании Contoso, вы можете настроить Google или Facebook в качестве внешних поставщиков удостоверений, чтобы эти внешние пользователи также могли войти с помощью своих учетных записей. Дополнительные сведения о конфигурациях сотрудников и внешних клиентов см. в разделе "Внешний идентификатор Майкрософт".

Подсказка

Теперь управление API поддерживает доступ к порталу разработчика пользователями из нескольких арендаторов Microsoft Entra ID с помощью единой регистрации приложения и конфигурации удостоверений. В настоящее время это поддерживается на уровнях "Разработчик", "Стандартный" и "Премиум".

Замечание

Управление API обеспечивает устаревшую поддержку Azure Active Directory B2C в качестве внешнего поставщика удостоверений. Однако мы рекомендуем использовать Microsoft Entra External ID в качестве внешнего поставщика удостоверений вместо Azure Active Directory B2C для новых развертываний портала разработчиков службы управления API.

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Предпосылки

• Клиент Идентификатора Microsoft Entra (клиент рабочей силы), в котором можно включить внешний доступ.
• Разрешения на создание приложения и настройку потоков пользователей в клиенте рабочей силы.
• Экземпляр API управления. Если у вас еще нет экземпляра службы управления API Azure, создайте его.
• Если вы создали экземпляр на уровне версии 2, включите портал разработчика. Дополнительные сведения см. в руководстве по доступу и настройке портала разработчика.

Добавьте внешнего поставщика удостоверений в вашего арендатора системы

Для этого сценария необходимо включить провайдера удостоверений для внешнего ID в арендаторе рабочей среды. Настройка внешнего поставщика удостоверений зависит от конкретного поставщика и выходит за рамки этой статьи. Параметры и ссылки на действия см. в разделе "Поставщики удостоверений для внешнего ID в арендаторах рабочей силы".

Включение входа в систему пользователей с помощью Microsoft Entra ID — портал

Чтобы упростить настройку, Управление API может автоматически включить приложение Microsoft Entra и поставщика удостоверений для пользователей портала разработчика. Кроме того, можно вручную включить приложение Microsoft Entra и настроить поставщика удостоверений.

Автоматическое включение приложения Microsoft Entra и поставщика удостоверений

Выполните следующие действия, чтобы включить идентификатор Microsoft Entra на портале разработчика:

1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Обзор портала.

2. На странице обзора портала прокрутите вниз, чтобы включить вход пользователя с помощью идентификатора Microsoft Entra.

3. Выберите Включить Microsoft Entra ID.

4. На странице "Включить идентификатор Microsoft Entra ID" выберите "Включить идентификатор Microsoft Entra ID".

5. Выберите Закрыть.

   

После включения поставщика Microsoft Entra:

• Пользователи в клиенте Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
• Вы можете управлять конфигурацией поставщика удостоверений Microsoft Entra на странице Портал разработчика>Удостоверения в портале.
• При необходимости обновите регистрацию приложения в идентификаторе Microsoft Entra для поддержки нескольких клиентов, как описано в разделе "Настройка регистрации приложений для нескольких клиентов". Имя регистрации приложения по умолчанию, созданное службой управления API, совпадает с именем экземпляра службы управления API.
• При необходимости настройте другие параметры входа, выбрав Аккаунты>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
• Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Вручную включите приложение Microsoft Entra и поставщика удостоверений.

Кроме того, вручную включите идентификатор Microsoft Entra на портале разработчика, зарегистрировав приложение самостоятельно в идентификаторе Microsoft Entra и настроив поставщика удостоверений для портала разработчика.

1. В левом меню вашей инстанции Управления API, под Порталом разработчика, выберите Удостоверения.

2. Нажмите кнопку +Добавить вверху, чтобы открыть область "Добавить поставщика удостоверений " справа.

3. В разделе " Тип" выберите идентификатор Microsoft Entra в раскрывающемся меню. При выборе этого параметра можно ввести другие необходимые сведения.

   • В раскрывающемся списке клиентской библиотеки выберите MSAL.
   • Сведения о добавлении Идентификатора клиента и Секрета клиента см. далее в этой статье.

4. Сохраните URL-адрес перенаправления для дальнейшего использования.

   

5. В браузере откройте портал Azure в новой вкладке.

6. Перейдите к регистрации приложений , чтобы зарегистрировать приложение в идентификаторе Microsoft Entra.

7. Выберите Новая регистрация. На странице "Регистрация приложения" задайте значения следующим образом:

   • В области Имя укажите понятное имя, например developer-portal.
   • Задайте поддерживаемые типы учетных записей, сделайте выбор подходящим для ваших сценариев. Если вы хотите разрешить пользователям в нескольких клиентах Microsoft Entra ID доступ к порталу разработчика, выберите Accounts в любом каталоге организации (мультитенант).
   • В области URI перенаправления выберите Одностраничное приложение (SPA) и вставьте URL-адрес перенаправления, сохраненный на предыдущем шаге.
   • Выберите Зарегистрировать.

8. После регистрации приложения скопируйте идентификатор приложения (клиента) на странице обзора .

9. Переключитесь на вкладку браузера с вашим экземпляром управления API.

10. В окне Добавление поставщика удостоверений вставьте значение ID приложения (клиента) в поле Идентификатор клиента.

11. Перейдите на вкладку браузера с регистрацией приложения.

12. Выберите соответствующую регистрацию приложения.

13. В разделе "Управление" бокового меню выберите сертификаты и секреты.

14. На странице "Сертификаты и секреты" нажмите кнопку "Новый секрет клиента" в разделе "Секреты клиента".

    • Введите описание .
    • Выберите любой параметр для истечения срока действия.
    • Нажмите кнопку Добавить.

15. Скопируйте секретное значение клиента перед уходом со страницы. Он понадобится вам позже.

16. В разделе Управление в боковом меню выберите Конфигурация токена>+ Добавить необязательное утверждение.

    1. В типе токена выберите идентификатор.
    2. Выберите (проверьте) следующие утверждения: электронная почта, family_name, given_name.
    3. Нажмите кнопку "Добавить". Если появится запрос, выберите "Включить электронную почту Microsoft Graph", разрешение профиля.

17. Переключитесь на вкладку браузера с вашим экземпляром управления API.

18. Вставьте секрет в поле Секрет клиента в области Добавление поставщика удостоверений.

    Это важно

    Обновите секрет клиента до истечения срока действия ключа.

19. Укажите в Signin tenant имя клиента или идентификатор для входа в Microsoft Entra. Если значение не указано, используется общая конечная точка.

20. В разрешенных клиентах добавьте одно или несколько определенных имен клиентов Microsoft Entra или идентификаторов для входа в Microsoft Entra.

    Замечание

    При указании дополнительных клиентов регистрация приложения должна быть настроена для поддержки нескольких клиентов. Дополнительные сведения см. в разделе "Настройка регистрации приложений для нескольких клиентов".

21. После указания требуемой конфигурации выберите Добавить.

22. Повторно опубликуйте портал разработчика для конфигурации Microsoft Entra, чтобы изменения вступили в силу. В меню слева в разделе Портал разработчика щелкните Обзор портала>Опубликовать.

После включения поставщика Microsoft Entra:

• Пользователи в указанных клиентах Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
• Вы можете управлять конфигурацией Microsoft Entra на странице удостоверений портала>разработчика на портале.
• При необходимости настройте другие параметры входа, выбрав Аккаунты>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
• Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Включение самостоятельной регистрации для клиента

Чтобы разрешить внешним пользователям зарегистрировать доступ на портал разработчика, выполните следующие действия.

• Включите самостоятельную регистрацию для внешнего клиента.
• Добавьте приложение в самостоятельный процесс регистрации пользователей.

Дополнительные сведения и подробные инструкции см. в разделе "Добавление потоков пользователей самообслуживания для совместной работы B2B".

Вход на портал разработчика с помощью внешнего идентификатора Microsoft Entra

На портале разработчика можно включить вход с помощью внешнего идентификатора Microsoft Entra с помощью кнопки входа: мини-приложение OAuth . Мини-приложение уже включено на страницу входа по умолчанию контента портала разработчика.

Затем пользователь может войти с помощью внешнего идентификатора Microsoft Entra, как показано ниже.

1. Перейдите на портал разработчика. Выберите Вход.

2. На странице входа выберите идентификатор Microsoft Entra.

   

   Подсказка

   Если для доступа настроено несколько клиентов Microsoft Entra, на странице входа появится несколько кнопки Идентификатора Microsoft Entra. Каждая кнопка помечена именем клиента.

3. В окне входа для клиента Microsoft Entra выберите параметры входа. Выберите внешний поставщик удостоверений, настроенный в клиенте Microsoft Entra для входа. Например, если вы настроили Google в качестве поставщика удостоверений, выберите "Войти" с помощью Google.

   

4. Чтобы продолжить вход, ответьте на запросы. После завершения входа пользователь перенаправляется на портал разработчика.

Теперь пользователь вошел в портал разработчиков, добавлен как новое удостоверение пользователя менеджера API в users и добавлен как новый внешний пользователь клиента в Microsoft Entra ID.

Связанный контент

• Безопасный доступ к порталу разработчика управления API
• Авторизация доступа к порталу разработчика управления API с помощью идентификатора Microsoft Entra
• Общие сведения о внешнем идентификаторе Microsoft Entra
• Поддерживаемые функции в рабочей силе и внешних клиентах