Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовый | Базовая версия 2 | Стандартный | Standard v2 | Премиум | Премиум версии 2
Управление API имеет полностью настраиваемый, автономный, управляемый портал разработчика, который можно использовать внешне (или внутри), чтобы пользователи разработчиков могли обнаруживать и взаимодействовать с API, опубликованными через Управление API. На портале разработчика имеется несколько параметров для упрощения безопасной регистрации и входа пользователей.
Примечание.
По умолчанию портал разработчика включает анонимный доступ. Этот параметр по умолчанию означает, что любой пользователь может просматривать портал и содержимое, например API без входа, хотя такие функции, как использование тестовой консоли, ограничены. Вы можете включить параметр, который требует, чтобы пользователи входить на портал разработчика. В меню портал Azure в левом меню экземпляра Управление API на портале разработчика выберите параметры удостоверений>. В разделе "Анонимные пользователи" выберите "Перенаправить анонимных пользователей" на страницу входа.
Варианты проверки подлинности
Внешние пользователи . Чтобы включить доступ к порталу разработчика для внешних пользователей, используйте внешние поставщики удостоверений, включенные через Microsoft Entra External ID.
- Например, пользователям требуется доступ к порталу разработчика с помощью существующих учетных записей социальных сетей.
- Служба предоставляет функции для обеспечения процесса регистрации и входа пользователей.
В настоящее время управление API поддерживает внешних поставщиков удостоверений при настройке в клиенте рабочей силы Идентификатора Microsoft Entra, а не во внешнем клиенте. Дополнительные сведения см. в статье "Авторизация учетных записей разработчиков с помощью внешнего идентификатора Microsoft Entra".
Примечание.
Управление API обеспечивает устаревшую поддержку Azure Active Directory B2C в качестве внешнего поставщика удостоверений. Однако мы рекомендуем использовать Microsoft Entra External ID в качестве внешнего поставщика удостоверений вместо Azure Active Directory B2C для новых развертываний портала разработчиков службы управления API.
Это важно
Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".
Внутренние пользователи . Чтобы предоставить внутренним пользователям доступ к порталу разработчика, используйте корпоративный клиент Microsoft Entra ID. Идентификатор Microsoft Entra предоставляет простой единый вход (SSO) для корпоративных пользователей, которым требуется доступ и обнаружение API через портал разработчика.
Инструкции по включению проверки подлинности Microsoft Entra на портале разработчика см. в статье "Как авторизовать учетные записи разработчика с помощью идентификатора Microsoft Entra в Azure Управление API".
Обычная проверка подлинности . Используйте встроенное имя пользователя и пароль портала разработчика. Этот параметр позволяет разработчикам регистрироваться непосредственно в службе "Управление API" и выполнять вход с помощью учетных записей пользователей управления API. Регистрация пользователей с помощью этого параметра защищена службой CAPTCHA.
Внимание
Хотя вы можете использовать базовую проверку подлинности для защиты доступа пользователей к порталу разработчика, рекомендуется настроить более безопасный метод проверки подлинности, например идентификатор Microsoft Entra.
Консоль тестирования портала разработчика
Помимо настройки регистрации и входа для пользователей разработчиков, на портале разработчика есть тестовая консоль, в которой разработчики могут отправлять тестовые запросы через службу Управление API на серверный API. Этот тестовый объект также существует для участвующих пользователей службы Управление API, которые управляют службой с помощью портала Azure.
Если вы защищаете API, предоставленный через службу "Управление API Azure" с помощью OAuth 2.0, то есть вызывающее приложение (носитель) должно получить и передать действительный токен доступа, вы можете настроить Управление API Azure для создания действительного токена от имени пользователя тестовой консоли Azure-портала или портала разработчика. Дополнительные сведения см. в статье "Авторизация тестовой консоли портала разработчика", настроив авторизацию пользователя OAuth 2.0.
Чтобы включить тестовую консоль для получения допустимого маркера OAuth 2.0 для тестирования API:
Добавьте в экземпляр сервер авторизации пользователей OAuth 2.0. Вы можете использовать любой поставщик OAuth 2.0, включая идентификатор Microsoft Entra, внешний идентификатор Microsoft Entra или сторонний поставщик удостоверений.
Настройте API с параметрами для этого сервера авторизации. На портале настройте авторизацию OAuth 2.0 на странице параметров API. Авторизация пользователя безопасности>.>
Эта конфигурация OAuth 2.0 для тестирования API не зависит от конфигурации, необходимой для доступа пользователей к порталу разработчика. Однако поставщик удостоверений и пользователь могут быть одинаковыми. Например, приложению интрасети может потребоваться доступ пользователя к порталу разработчика с помощью единого входа в систему с их корпоративной учетной записью. Это же корпоративное удостоверение может получить маркер через тестовую консоль для вызываемой серверной службы с тем же контекстом пользователя.
Сценарии
В разных сценариях применяются разные варианты проверки подлинности и авторизации. В следующих разделах рассматриваются высокоуровневые конфигурации для трех примеров сценариев. Вам необходимо выполнить дополнительные действия, чтобы полностью защитить и настроить API, предоставляемые с помощью управления API. Однако в данных сценариях намеренно описываются минимальные конфигурации, рекомендуемые в каждом случае, чтобы обеспечить необходимую проверку подлинности и авторизацию.
Сценарий 1. API интрасети и приложения
- Участник управления API и разработчик серверной части API хотят опубликовать API, защищенный OAuth 2.0.
- API используется десктопными приложениями, пользователи которых входят с помощью единой идентификации через идентификатор Microsoft Entra.
- Разработчики классических приложений должны обнаруживать и тестировать API с помощью портала разработчика управления API.
Основные параметры конфигурации:
| Настройка | Справочные материалы |
|---|---|
| Авторизовать разработчиков портала управления API, используя корпоративные удостоверения и Microsoft Entra ID. | Авторизация учетных записей разработчиков через Microsoft Entra ID в службе управления Azure API |
| Настройте тестовую консоль на портале разработчика, чтобы получить действительный токен OAuth 2.0 для разработчиков классических приложений и позволить им использовать серверный API. Ту же конфигурацию можно использовать для тестовой консоли на портале Azure, которая доступна для участников и разработчиков серверной части службы Управление API. Токен можно использовать в сочетании с ключом подписки для управления API. |
Авторизация тестовой консоли портала разработчика путем настройки авторизации пользователя с помощью OAuth 2.0 Подписки в службе управления API Azure |
| Проверьте токен OAuth 2.0 и утверждения при вызове API через службу Управление API с помощью маркера доступа. | Проверка политики JWT |
Выполните еще одну операцию в рамках данного сценария, переместив службу Управление API в периметр сети и контролируя входящий трафик через обратный прокси-сервер. Эталонную архитектуру см. в разделе Защита API с помощью Шлюза приложений и службы Управление API.
Сценарий 2. Внешний API, партнерское приложение
- Участник управления API и разработчик серверной части API хотят быстро создать прототип для предоставления устаревшего API через управление API Azure. API, управляемое через службу управления API, имеет внешний интернет-доступ.
- API использует проверку подлинности сертификата клиента и используется новым общедоступным одностраничным приложением (SPA), разработанным партнером за рубежом.
- Spa использует OAuth 2.0 с OpenID Connect (OIDC).
- Разработчики приложений получают доступ к API в тестовой среде через портал разработчика, используя тестовую конечную точку серверной части для ускорения разработки внешнего интерфейса.
Основные параметры конфигурации:
| Настройка | Справочные материалы |
|---|---|
| Настройте внешний доступ разработчика к порталу разработчика с помощью имени пользователя и пароля по умолчанию. Разработчики также могут быть приглашены на портал разработчиков. |
Настройка пользователей портала разработчика для проверки подлинности с использованием имен пользователей и паролей Управление учетными записями пользователей в службе управления API Azure |
| Проверьте токен OAuth 2.0 и утверждения, когда SPA вызывает Управление API с помощью маркера доступа. В этом случае аудитория — служба Управление API. | Проверка политики JWT |
| Настройте службу Управление API для использования проверки подлинности на основе сертификата клиента в серверной части. | Защита служб серверной части с помощью проверки подлинности сертификата клиента в Azure Управление API |
Для дальнейшего использования этого сценария используйте портал разработчика с авторизацией Microsoft Entra и совместной работой Microsoft Entra B2B , чтобы партнеры по доставке могли более тесно сотрудничать. Рассмотрите возможность делегирования доступа к управлению API через RBAC в среде разработки или тестирования и включите единый вход на портал разработчика с помощью собственных корпоративных учетных данных.
Сценарий 3. Внешний API, SaaS, открытый для общего доступа
Участник управления API и разработчик серверной части API записывают несколько новых API, которые разработчики сообщества могут использовать.
API являются общедоступными, но все функциональные возможности защищены за платной стеной и защищены с помощью OAuth 2.0. После приобретения лицензии разработчик получает собственные учетные данные клиента и ключ подписки, допустимый для использования в рабочей среде.
Внешние разработчики сообщества обнаруживают API с помощью портала разработчика. Разработчики регистрируются и входят на портал разработчиков через учетные записи социальных сетей.
Заинтересованные пользователи портала разработчиков с ключом тестовой подписки могут изучить функциональные возможности API в тестовом контексте без необходимости приобретать лицензию. Тестовая консоль портала разработчика представляет вызывающее приложение и создает маркер доступа по умолчанию для серверного API.
Внимание
При использовании потока учетных данных клиента с тестовой консолью портала разработчика необходимо проявлять повышенную осторожность. См. раздел Вопросы безопасности.
Основные параметры конфигурации:
| Настройка | Справочные материалы |
|---|---|
| Настройте продукты в службе "Управление API Azure" для представления сочетаний API, предоставляемых разработчикам сообщества. Настройте подписки, чтобы разработчики могли использовать интерфейсы API. |
Руководство по создавать и публиковать продукт; Подписки в службе управления API Azure |
| Настройте доступ разработчика сообщества к порталу разработчика с помощью внешнего идентификатора Microsoft Entra. Затем внешний идентификатор Microsoft Entra External ID можно настроить для работы с одним или несколькими смежными поставщиками социальных сетей. | Авторизация учетных записей разработчиков с помощью внешнего идентификатора Microsoft Entra в службе "Управление API Azure" |
| Настройте тестовую консоль на портале разработчика, чтобы получить действительный маркер OAuth 2.0 для серверного API с помощью потока учетных данных клиента. |
Авторизация тестовой консоли портала разработчика путем настройки авторизации пользователя с помощью OAuth 2.0 Настройте шаги конфигурации, описанные в этой статье, чтобы использовать поток предоставления учетных данных клиента вместо потока предоставления кода авторизации. |
Перейдите к следующему шагу, делегировав регистрацию пользователя или подписку на продукт и расширив процесс на основе собственной логики.
Связанный контент
- Узнайте подробнее о проверке подлинности и авторизации на платформе удостоверений Майкрософт.
- Узнайте, как устранять угрозы безопасности API OWASP с помощью управления API.