Ontwikkelaarsaccounts autoriseren met behulp van Microsoft Entra-id in Azure API Management

VAN TOEPASSING OP: Ontwikkelaar | Basic v2 | Standaard | Standard v2 | Premium | Premium v2

In dit artikel leert u het volgende:

• Schakel toegang tot de ontwikkelaarsportal in voor gebruikers in de Microsoft Entra ID-tenant van uw organisatie of andere Microsoft Entra ID-tenants voor werknemers.
• Beheer groepen Microsoft Entra-gebruikers door externe groepen toe te voegen die de gebruikers bevatten.

Zie Beveiligde toegang tot de API Management-ontwikkelaarsportal voor een overzicht van de opties voor het beveiligen van de ontwikkelaarsportal.

Important

• Dit artikel wordt bijgewerkt met stappen voor het configureren van een Microsoft Entra-app met behulp van de Microsoft Authentication Library (MSAL).
• Als u eerder een Microsoft Entra-app hebt geconfigureerd voor gebruikersaanmelding met behulp van de Azure AD Authentication Library (ADAL), migreert u naar MSAL.

Zie Toegang tot de API Management-ontwikkelaarsportal autoriseren met behulp van Microsoft Entra External ID voor scenario's waarbij Microsoft Entra External ID wordt gebruikt om externe identiteiten toe te staan zich aan te melden bij de ontwikkelaarsportal.

Aanbeveling

API Management biedt nu ondersteuning voor toegang tot de ontwikkelaarsportal van gebruikers in meer dan één Microsoft Entra ID-tenant via één app-registratie en identiteitsconfiguratie. Dit wordt momenteel ondersteund in de lagen Developer, Standard en Premium.

Prerequisites

• Voltooi de quickstart Een Azure API Management-exemplaar maken.

• Importeer en publiceer een API in het Azure API Management-exemplaar.

• Als u uw exemplaar in een v2-laag hebt gemaakt, schakelt u de ontwikkelaarsportal in. Zie Zelfstudie: De ontwikkelaarsportal openen en aanpassen voor meer informatie.

Ga naar uw API Management-instantie

1. Zoek en selecteer in de Azure portalde API Management-services:

   

2. Selecteer op de pagina API Management-services uw API Management-exemplaar:

   

Gebruikersaanmelding inschakelen met behulp van Microsoft Entra ID - portal

Om de configuratie te vereenvoudigen, kan API Management automatisch een Microsoft Entra-toepassing en id-provider inschakelen voor gebruikers van de ontwikkelaarsportal. U kunt de Microsoft Entra-toepassing en id-provider ook handmatig inschakelen.

Microsoft Entra-toepassing en id-provider automatisch inschakelen

Volg deze stappen om Microsoft Entra-id automatisch in te schakelen in de ontwikkelaarsportal:

1. Selecteer in het linkermenu van uw API Management-exemplaar onder De ontwikkelaarsportalhet portaloverzicht.

2. Schuif op de overzichtspagina van de portal omlaag naar Gebruikersaanmelding inschakelen met Microsoft Entra-id.

3. Selecteer Microsoft Entra-id inschakelen.

4. Selecteer Op de pagina Microsoft Entra-id inschakelende optie Microsoft Entra-id inschakelen.

5. Selecteer Sluitaf.

   

Nadat de Microsoft Entra-provider is ingeschakeld:

• Gebruikers in uw Microsoft Entra-tenant kunnen zich aanmelden bij de ontwikkelaarsportal met behulp van een Microsoft Entra-account.
• U kunt de configuratie van de Microsoft Entra-id-provider beheren op de paginaIdentiteiten van de > in de portal.
• Werk desgewenst de app-registratie in Microsoft Entra-id bij om meerdere tenants te ondersteunen, zoals beschreven in App-registratie configureren voor meerdere tenants. De naam van de standaard-app-registratie die door API Management is gemaakt, is hetzelfde als de naam van het API Management-exemplaar.
• U kunt eventueel andere aanmeldingsinstellingen configureren door Id-instellingen> te selecteren. U kunt bijvoorbeeld anonieme gebruikers omleiden naar de aanmeldingspagina.
• Publiceer de ontwikkelaarsportal opnieuw na een configuratiewijziging.

Microsoft Entra-toepassing en id-provider handmatig inschakelen

U kunt ook Handmatig Microsoft Entra-id inschakelen in de ontwikkelaarsportal door zelf een toepassing te registreren in Microsoft Entra-id en de id-provider voor de ontwikkelaarsportal te configureren.

1. Selecteer Identiteiten in het linkermenu van uw API Management-exemplaar onder de ontwikkelaarsportal.

2. Selecteer + Toevoegen bovenaan om het deelvenster Id-provider toevoegen aan de rechterkant te openen.

3. Selecteer onder Typede Microsoft Entra-id in de vervolgkeuzelijst. Wanneer u deze optie selecteert, kunt u andere benodigde gegevens invoeren.

   • Selecteer MSAL in de vervolgkeuzelijst Clientbibliotheek.
   • Als u client-id en clientgeheim wilt toevoegen, raadpleegt u de stappen verderop in het artikel.

4. Sla de omleidings-URL op voor later gebruik.

   

5. Open Azure Portal in uw browser op een nieuw tabblad.

6. Navigeer naar App-registraties om een app te registreren in Microsoft Entra ID.

7. Selecteer Nieuwe registratie. Stel op de pagina Een toepassing registreren de waarden als volgt in:

   • Naam instellen op een beschrijvende naam, zoals developer-portal
   • Stel ondersteunde accounttypen in, maak een selectie die geschikt is voor uw scenario's. Als u wilt toestaan dat gebruikers in meerdere Microsoft Entra ID-tenants toegang hebben tot de ontwikkelaarsportal, selecteert u Accounts in elke organisatiemap (Multitenant).
   • Selecteer in omleidings-URI de optie Toepassing met één pagina (SPA) en plak de omleidings-URL die u in een vorige stap hebt opgeslagen.
   • Selecteer Registreren.

8. Nadat u de toepassing hebt geregistreerd, kopieert u de applicatie-id (klant) van de pagina Overzicht.

9. Ga naar het browsertabblad met uw API Management instantie.

10. Plak in het venster Identiteitsprovider toevoegen de toepassings-id (client) waarde in het vak Client-id.

11. Ga naar het browsertabblad met de app-registratie.

12. Selecteer de juiste app-registratie.

13. In de sectie Beheren van het zijmenu, selecteer Certificaten en geheimen.

14. Selecteer op de pagina Certificaten en geheimen de knop Nieuw clientgeheim onder Clientgeheimen.

    • Voer een beschrijving in.
    • Selecteer een optie voor Verlopen.
    • Kies Toevoegen.

15. Kopieer de waarde van het clientgeheim voordat u de pagina verlaat. U hebt deze in een latere stap nodig.

16. Selecteer onder Beheren in het zijmenu tokenconfiguratie>+ Optionele claim toevoegen.

    1. Selecteer id in tokentype.
    2. Selecteer (controleer) de volgende claims: e-mail, family_name, given_name.
    3. Selecteer Toevoegen. Als u hierom wordt gevraagd, selecteert u Microsoft Graph-e-mail, profielmachtiging inschakelen.

17. Ga naar het browsertabblad met uw API Management instantie.

18. Plak het geheim in het veld Clientgeheim in het deelvenster Id-provider toevoegen .

    Important

    Werk het clientgeheim bij voordat de sleutel verloopt.

19. Geef in Aanmeldingstentant een tenantnaam of -ID op voor gebruik bij de aanmelding van Microsoft Entra. Als u geen waarde opgeeft, wordt het algemene eindpunt gebruikt.

20. Voeg in toegestane tenants een of meer specifieke Microsoft Entra-tenantnamen of id's toe voor aanmelding bij Microsoft Entra.

    Note

    Als u extra tenants opgeeft, moet de app-registratie worden geconfigureerd om meerdere tenants te ondersteunen. Zie App-registratie configureren voor meerdere tenants voor meer informatie.

21. Nadat u de gewenste configuratie hebt opgegeven, selecteert u Toevoegen.

22. Publiceer de ontwikkelaarsportal voor de Configuratie van Microsoft Entra opnieuw om van kracht te worden. Selecteer in het linkermenu, onder Ontwikkelaarsportal, portaloverzicht>.

Nadat de Microsoft Entra-provider is ingeschakeld:

• Gebruikers in de opgegeven Microsoft Entra-tenant(s) kunnen zich aanmelden bij de ontwikkelaarsportal met behulp van een Microsoft Entra-account.
• U kunt de Configuratie van Microsoft Entra beheren op de paginaIdentiteiten> in de portal.
• U kunt eventueel andere aanmeldingsinstellingen configureren door Id-instellingen> te selecteren. U kunt bijvoorbeeld anonieme gebruikers omleiden naar de aanmeldingspagina.
• Publiceer de ontwikkelaarsportal opnieuw na een configuratiewijziging.

Migreren naar MSAL

Als u eerder een Microsoft Entra-app hebt geconfigureerd voor gebruikersaanmelding met behulp van ADAL, kunt u de portal gebruiken om de app te migreren naar MSAL en de id-provider bij te werken in API Management.

Microsoft Entra-app bijwerken voor MSAL-compatibiliteit

Zie Omleidings-URI's overschakelen naar het toepassingstype met één pagina voor stappen.

Configuratie van id-provider bijwerken

1. Selecteer Identiteiten in het linkermenu van uw API Management-exemplaar onder de ontwikkelaarsportal.
2. Selecteer Microsoft Entra-id in de lijst.
3. Selecteer MSAL in de vervolgkeuzelijst Clientbibliotheek.
4. Kies Bijwerken.
5. Publiceer de ontwikkelaarsportal opnieuw.

Toegang configureren door gebruikers in meer dan één Microsoft Entra-tenant

Note

Ondersteuning voor toegang tot de ontwikkelaarsportal door gebruikers van meerdere Microsoft Entra ID-tenants is momenteel beschikbaar in de API Management Developer-, Standard- en Premium-lagen.

U kunt toegang tot de ontwikkelaarsportal inschakelen door gebruikers van meer dan één Microsoft Entra ID-tenant. Dit doet u als volgt:

• Configureer app-registratie voor meerdere tenants.
• Werk de configuratie van de identity provider van Microsoft Entra ID voor de ontwikkelaarsportal bij om een andere tenant toe te voegen.

App-registratie voor meerdere tenants configureren

De app-registratie die u voor de id-provider configureert, moet meerdere tenants ondersteunen. U kunt dit op een van de volgende manieren doen:

• Bij het maken van de app-registratie stelt u Ondersteunde accounttypen in op Accounts in elke organisatie-directory (Elke Microsoft Entra ID-tenant - Multitenant).
• Als u eerder een app-registratie voor één tenant hebt geconfigureerd, werkt u de instelling Ondersteunde accounttypen bij op de paginaVerificatie> van de app-registratie.

Configuratie van de Id-provider van Microsoft Entra bijwerken voor meerdere tenants

Werk de configuratie van de id-provider bij om een andere tenant toe te voegen:

1. Ga in Azure Portal naar uw API Management-exemplaar.
2. Selecteer Identiteiten onder de ontwikkelaarsportal.
3. Selecteer Microsoft Entra-id in de lijst.
4. Voeg in het veld Tenant-id de extra tenant-id's toe, gescheiden door komma's.
5. Werk de waarde van Signin-tenant bij naar een van de geconfigureerde huurders.
6. Kies Bijwerken.
7. Publiceer de ontwikkelaarsportal opnieuw.

Een externe Microsoft Entra-groep toevoegen

Nadat u toegang hebt ingeschakeld voor gebruikers in een Microsoft Entra-tenant, kunt u het volgende doen:

• Voeg Microsoft Entra-groepen toe aan API Management. U moet groepen toevoegen in de tenant waar u uw API Management-exemplaar hebt geïmplementeerd.
• Beheer de zichtbaarheid van producten met behulp van Microsoft Entra-groepen.

1. Ga naar de pagina App-registratie voor de toepassing die u in de vorige sectie hebt geregistreerd.
2. Selecteer API-machtigingen.
3. Voeg de volgende minimale toepassingsmachtigingen toe voor Microsoft Graph API:
   • User.Read.All toepassingsmachtiging: API Management kan het groepslidmaatschap van de gebruiker lezen om groepssynchronisatie uit te voeren wanneer de gebruiker zich aanmeldt.
   • Group.Read.All toepassingsmachtiging: API Management kan de Microsoft Entra-groepen lezen wanneer een beheerder de groep probeert toe te voegen aan API Management met behulp van de blade Groepen in de portal.
4. Selecteer Beheerderstoestemming verlenen voor {tenantname} om toegang te verlenen aan alle gebruikers in deze directory.

U kunt nu externe Microsoft Entra-groepen toevoegen vanaf het tabblad Groepen van uw API Management-exemplaar.

1. Selecteer Groepen onder De ontwikkelaarsportal in het zijmenu.

2. Selecteer de knop Microsoft Entra-groep toevoegen .

   

3. Selecteer de Tenant uit de vervolgkeuzelijst.

4. Zoek en selecteer de groep die u wilt toevoegen.

5. Druk op de knop Selecteren .

Nadat u een externe Microsoft Entra-groep hebt toegevoegd, kunt u de eigenschappen ervan controleren en configureren:

1. Selecteer de naam van de groep op het tabblad Groepen .
2. Bewerk naam - en beschrijvingsgegevens voor de groep.

Gebruikers van het geconfigureerde Microsoft Entra-exemplaar kunnen nu:

• Meld u aan bij de ontwikkelaarsportal.
• Bekijk en abonneer u op groepen waarvoor ze zichtbaarheid hebben.

Note

Meer informatie over het verschil tussen gedelegeerde en toepassingsmachtigingen in het artikel machtigingen en toestemming op het Microsoft Identity Platform.

Microsoft Entra-groepen synchroniseren met API Management

Groepen die u in Microsoft Entra configureert, moeten worden gesynchroniseerd met API Management, zodat u ze aan uw exemplaar kunt toevoegen. Als de groepen niet automatisch worden gesynchroniseerd, gebruikt u een van de volgende stappen om groepsgegevens handmatig te synchroniseren:

• Meld u af en meld u aan bij Microsoft Entra-id. Deze activiteit activeert meestal synchronisatie van groepen.
• Zorg ervoor dat de Microsoft Entra-aanmeldingstenant op dezelfde manier is opgegeven (met behulp van een tenant-id of domeinnaam) in uw configuratie-instellingen in API Management. U geeft de aanmeldingstenant op in de id-provider van Microsoft Entra ID voor de ontwikkelaarsportal en wanneer u een Microsoft Entra-groep toevoegt aan API Management.

Ontwikkelaarsportal: Verificatie van Microsoft Entra-accounts toevoegen

In de ontwikkelaarsportal kunt u aanmelden met Microsoft Entra ID inschakelen met behulp van de knop Aanmelden: OAuth-widget die is opgenomen op de aanmeldingspagina van de standaardinhoud van de ontwikkelaarsportal.

Een gebruiker kan zich vervolgens als volgt aanmelden met Microsoft Entra-id:

1. Ga naar de ontwikkelaarsportal. Selecteer Aanmelden.

2. Selecteer Microsoft Entra-id op de aanmeldingspagina. Als u deze knop selecteert, wordt de aanmeldingspagina van Microsoft Entra-id geopend.

   

   Aanbeveling

   Als er meer dan één tenant is geconfigureerd voor toegang, wordt meer dan één Microsoft Entra ID-knop weergegeven op de aanmeldingspagina. Elke knop wordt gelabeld met de naam van de tenant.

3. Reageer in het aanmeldingsvenster voor uw Microsoft Entra-tenant op de aanwijzingen. Nadat de aanmelding is voltooid, wordt de gebruiker teruggeleid naar de ontwikkelaarsportal.

De gebruiker is nu aangemeld bij de ontwikkelaarsportal en toegevoegd als een nieuwe API Management-gebruikersidentiteit in Gebruikers.

Hoewel er automatisch een nieuw account wordt gemaakt wanneer een nieuwe gebruiker zich aanmeldt met Microsoft Entra ID, kunt u overwegen om dezelfde widget toe te voegen aan de registratiepagina. Het aanmeldingsformulier: OAuth-widget vertegenwoordigt een formulier dat wordt gebruikt voor registratie met OAuth.

Important

U moet de portal opnieuw publiceren om de wijzigingen in de Microsoft Entra-id van kracht te laten worden.

Verwante inhoud

• Meer informatie over Microsoft Entra ID en OAuth2.0.
• Meer informatie over MSAL en migreren naar MSAL.
• Problemen met netwerkconnectiviteit met Microsoft Graph oplossen vanuit een VNet.