Ontwikkelaarsaccounts autoriseren met behulp van Azure Active Directory in Azure API Management

In dit artikel leert u het volgende:

  • Toegang tot de ontwikkelaarsportal inschakelen voor gebruikers vanuit Azure Active Directory (Azure AD).
  • Beheer groepen van Azure AD gebruikers door externe groepen toe te voegen die de gebruikers bevatten.

Zie Verificatie en autorisatie in API Management voor een overzicht van de opties voor het beveiligen van de ontwikkelaarsportal.

Belangrijk

  • Dit artikel is bijgewerkt met stappen voor het configureren van een Azure AD-app met behulp van de Microsoft Authentication Library (MSAL).
  • Als u eerder een Azure AD-app hebt geconfigureerd voor gebruikersaanmelding met behulp van de Azure AD Authentication Library (ADAL), raden we u aan te migreren naar MSAL.

Vereisten

Beschikbaarheid

Belangrijk

Deze functie is beschikbaar in de Premium-, Standard- en Developer-lagen van API Management.

Ga naar uw API Management-exemplaar

  1. Zoek in de Azure-portal naar API Management-services en selecteer dit.

    API Management-services selecteren

  2. Selecteer uw API Management-exemplaar op de pagina API Management-services.

    Uw API Management-exemplaar selecteren

Gebruikersaanmelding inschakelen met behulp van Azure AD - portal

Om de configuratie te vereenvoudigen, kunt API Management automatisch een Azure AD toepassing en id-provider inschakelen voor gebruikers van de ontwikkelaarsportal. U kunt de Azure AD toepassing en id-provider ook handmatig inschakelen.

Automatisch Azure AD toepassings- en id-provider inschakelen

  1. Selecteer in het linkermenu van uw API Management-exemplaar onder Ontwikkelaarsportalde optie Portaloverzicht.

  2. Schuif op de overzichtspagina van de portal omlaag naar Gebruikersaanmelding inschakelen met Azure Active Directory.

  3. Selecteer Azure AD inschakelen.

  4. Selecteer op de pagina Azure AD inschakelende optie Azure AD inschakelen.

  5. Selecteer Sluiten.

    Schermopname van het inschakelen van Azure AD op de overzichtspagina van de ontwikkelaarsportal.

Nadat de Azure AD-provider is ingeschakeld:

  • Gebruikers in het opgegeven Azure AD exemplaar kunnen zich aanmelden bij de ontwikkelaarsportal met behulp van een Azure AD-account.
  • U kunt de configuratie van de Azure AD beheren op de paginaIdentiteiten van ontwikkelaarsportal> in de portal.
  • Configureer eventueel andere aanmeldingsinstellingen door Identiteitsinstellingen> te selecteren. U kunt bijvoorbeeld anonieme gebruikers omleiden naar de aanmeldingspagina.
  • Publiceer de ontwikkelaarsportal opnieuw na een configuratiewijziging.

Handmatig Azure AD toepassing en id-provider inschakelen

  1. Selecteer identiteiten in het linkermenu van uw API Management-exemplaar onder Ontwikkelaarsportal.

  2. Selecteer +Toevoegen bovenaan om het deelvenster Id-provider toevoegen aan de rechterkant te openen.

  3. Selecteer onder Typede optie Azure Active Directory in de vervolgkeuzelijst. Zodra deze optie is geselecteerd, kunt u andere benodigde gegevens invoeren.

    • Selecteer MSAL in de vervolgkeuzelijst Clientbibliotheek.
    • Als u client-id en clientgeheim wilt toevoegen, raadpleegt u de stappen verderop in het artikel.
  4. Sla de omleidings-URL op voor later gebruik.

    Schermopname van het toevoegen van de id-provider in Azure Portal.

    Notitie

    Er zijn twee omleidings-URL's:

    • Omleidings-URL verwijst naar de nieuwste ontwikkelaarsportal van de API Management.
    • Omleidings-URL (afgeschafte portal) verwijst naar de afgeschafte ontwikkelaarsportal van API Management.

    We raden u aan de meest recente omleidings-URL voor de ontwikkelaarsportal te gebruiken.

  5. Open in uw browser de Azure Portal op een nieuw tabblad.

  6. Navigeer naar App-registraties om een app te registreren in Active Directory.

  7. Selecteer Nieuwe registratie. Stel op de pagina Een toepassing registreren de waarden als volgt in:

    • Stel Naam in op een beschrijvende naam, zoals developer-portal
    • Stel Ondersteunde accounttypenin op Accounts in een organisatiemap.
    • Selecteer in Omleidings-URI de optie Toepassing met één pagina (SPA) en plak de omleidings-URL die u in een vorige stap hebt opgeslagen.
    • Selecteer Registreren.
  8. Nadat u de toepassing hebt geregistreerd, kopieert u de toepassings-id (client) op de pagina Overzicht .

  9. Ga naar het browsertabblad met uw API Management exemplaar.

  10. Plak in het venster Id-provider toevoegen de waarde toepassings-id (client)in het vak Client-id .

  11. Ga naar het browsertabblad met de app-registratie.

  12. Selecteer de juiste app-registratie.

  13. Selecteer in de sectie Beheren van het menu aan de zijkant de optie Certificatengeheimen&.

  14. Selecteer op de pagina Certificatengeheimen & de knop Nieuw clientgeheim onder Clientgeheimen.

    • Voer een beschrijving in.
    • Selecteer een optie voor Verloopt.
    • Kies Toevoegen.
  15. Kopieer de waarde clientgeheim voordat u de pagina verlaat. U hebt dit later nodig.

  16. Selecteer verificatie onder Beheren in het zijmenu.

    1. Schakel in de sectie Impliciete toekenning en hybride stromen het selectievakje Id-tokens in.
    2. Selecteer Opslaan.
  17. Selecteer onder Beheren in het menu aan de zijkant de optie Tokenconfiguratie>+ Optionele claim toevoegen.

    1. Selecteer id bij Tokentype.
    2. Selecteer (controleer) de volgende claims: e-mail, family_namegiven_name.
    3. Selecteer Toevoegen. Als u hierom wordt gevraagd, selecteert u De e-mail van Microsoft Graph inschakelen, profielmachtiging.
  18. Ga naar het browsertabblad met uw API Management exemplaar.

  19. Plak het geheim in het veld Clientgeheim in het deelvenster Id-provider toevoegen .

    Belangrijk

    Werk het clientgeheim bij voordat de sleutel verloopt.

  20. Geef in het veld Toegestane tenants van het deelvenster Id-provider toevoegen de domeinen van het Azure AD exemplaar op waaraan u toegang wilt verlenen tot de API's van het API Management-service-exemplaar.

    • U kunt meerdere domeinen scheiden met nieuwe regels, spaties of komma's.

    Notitie

    U kunt meerdere domeinen opgeven in de sectie Toegestane tenants . Een globale beheerder moet de toepassing toegang verlenen tot directorygegevens voordat gebruikers zich kunnen aanmelden vanuit een ander domein dan het oorspronkelijke app-registratiedomein. Als u machtigingen wilt verlenen, moet de globale beheerder het volgende doen:

    1. Ga naar https://<URL of your developer portal>/aadadminconsent (bijvoorbeeld https://contoso.portal.azure-api.net/aadadminconsent).
    2. Voer de domeinnaam in van de Azure AD tenant waaraan ze toegang willen verlenen.
    3. Selecteer Indienen.
  21. Nadat u de gewenste configuratie hebt opgegeven, selecteert u Toevoegen.

  22. Publiceer de ontwikkelaarsportal opnieuw om de configuratie van de Azure AD van kracht te laten worden. Selecteer in het linkermenu onder Ontwikkelaarsportal de optie Portaloverzicht>Publiceren.

Nadat de Azure AD-provider is ingeschakeld:

  • Gebruikers in het opgegeven Azure AD exemplaar kunnen zich aanmelden bij de ontwikkelaarsportal met behulp van een Azure AD-account.
  • U kunt de configuratie van de Azure AD beheren op de paginaIdentiteiten van ontwikkelaarsportal> in de portal.
  • Configureer eventueel andere aanmeldingsinstellingen door Identiteitsinstellingen> te selecteren. U kunt bijvoorbeeld anonieme gebruikers omleiden naar de aanmeldingspagina.
  • Publiceer de ontwikkelaarsportal opnieuw na een configuratiewijziging.

Migreren naar MSAL

Als u eerder een Azure AD-app hebt geconfigureerd voor gebruikersaanmelding met behulp van de ADAL, kunt u de portal gebruiken om de app te migreren naar MSAL en de id-provider bij te werken in API Management.

Azure AD-app bijwerken voor MSAL-compatibiliteit

Zie Omleidings-URI's overschakelen naar het toepassingstype met één pagina voor de stappen.

Configuratie van id-provider bijwerken

  1. Selecteer identiteiten in het linkermenu van uw API Management-exemplaar onder Ontwikkelaarsportal.
  2. Selecteer Azure Active Directory in de lijst.
  3. Selecteer MSAL in de vervolgkeuzelijst Clientbibliotheek.
  4. Selecteer Update.
  5. Uw ontwikkelaarsportal opnieuw publiceren.

Een externe Azure AD groep toevoegen

Nu u toegang hebt ingeschakeld voor gebruikers in een Azure AD-tenant, kunt u het volgende doen:

  • Voeg Azure AD groepen toe aan API Management.
  • De zichtbaarheid van producten beheren met behulp van Azure AD groepen.

Volg deze stappen om het volgende toe te kennen:

  • User.Readgedelegeerde machtiging voor Microsoft Graph API.
  • Directory.ReadAlltoepassingsmachtiging voor Microsoft Graph API.
  1. Werk de eerste 3 regels van het volgende Azure CLI-script bij zodat deze overeenkomen met uw omgeving en voer het uit.

    $subId = "Your Azure subscription ID" # Example: "1fb8fadf-03a3-4253-8993-65391f432d3a"
    $tenantId = "Your Azure AD Tenant or Organization ID" # Example: 0e054eb4-e5d0-43b8-ba1e-d7b5156f6da8"
    $appObjectID = "Application Object ID that has been registered in AAD" # Example: "2215b54a-df84-453f-b4db-ae079c0d2619"
    #Login and Set the Subscription
    az login
    az account set --subscription $subId
    #Assign the following permission: Microsoft Graph Delegated Permission: User.Read, Microsoft Graph Application Permission: Directory.ReadAll
    az rest --method PATCH --uri "https://graph.microsoft.com/v1.0/$($tenantId)/applications/$($appObjectID)" --body "{'requiredResourceAccess':[{'resourceAccess': [{'id': 'e1fe6dd8-ba31-4d61-89e7-88639da4683d','type': 'Scope'},{'id': '7ab1d382-f21e-4acd-a863-ba3e13f7da61','type': 'Role'}],'resourceAppId': '00000003-0000-0000-c000-000000000000'}]}"
    
  2. Meld u af en weer aan bij de Azure Portal.

  3. Ga naar de pagina App-registratie voor de toepassing die u in de vorige sectie hebt geregistreerd.

  4. Selecteer API-machtigingen. U ziet de machtigingen die zijn verleend door het Azure CLI-script in stap 1.

  5. Selecteer Beheerderstoestemming verlenen voor {tenantname} zodat u toegang verleent aan alle gebruikers in deze map.

U kunt nu externe Azure AD groepen toevoegen via het tabblad Groepen van uw API Management exemplaar.

  1. Selecteer onder Ontwikkelaarsportal in het zijmenu de optie Groepen.

  2. Selecteer de knop Azure AD groep toevoegen.

  3. Selecteer de Tenant in de vervolgkeuzelijst.

  4. Zoek en selecteer de groep die u wilt toevoegen.

  5. Selecteer de knop Selecteren.

Nadat u een externe Azure AD groep hebt toegevoegd, kunt u de eigenschappen ervan controleren en configureren:

  1. Selecteer de naam van de groep op het tabblad Groepen .
  2. Naam- en beschrijvingsgegevens voor de groep bewerken.

Gebruikers van het geconfigureerde Azure AD exemplaar kunnen nu het volgende doen:

  • Meld u aan bij de ontwikkelaarsportal.
  • Bekijk en abonneer u op alle groepen waarvoor ze zichtbaarheid hebben.

Notitie

Meer informatie over het verschil tussen gedelegeerde en toepassingsmachtigingen in Machtigingen en toestemming vindt u in het artikel Microsoft identity platform.

Ontwikkelaarsportal: verificatie van Azure AD-account toevoegen

In de ontwikkelaarsportal kunt u zich aanmelden met Azure AD met behulp van de knop Aanmelden: OAuth-widget die is opgenomen op de aanmeldingspagina van de standaardinhoud van de ontwikkelaarsportal.

Schermopname van de OAuth-widget in de ontwikkelaarsportal.

Hoewel er automatisch een nieuw account wordt gemaakt wanneer een nieuwe gebruiker zich aanmeldt met Azure AD, kunt u overwegen om dezelfde widget toe te voegen aan de registratiepagina. Het registratieformulier: OAuth-widget vertegenwoordigt een formulier dat wordt gebruikt voor het registreren bij OAuth.

Belangrijk

U moet de portal opnieuw publiceren om de Azure AD wijzigingen door te voeren.

Verouderde ontwikkelaarsportal: aanmelden met Azure AD

Notitie

De volgende documentatie-inhoud gaat over de afgeschafte ontwikkelaarsportal. U kunt deze zoals gebruikelijk blijven gebruiken tot de buitengebruikstelling in oktober 2023, wanneer de portal wordt verwijderd uit alle API Management Services. De afgeschafte portal ontvangt alleen essentiële beveiligingsupdates. Zie de volgende artikelen voor meer informatie:

Aanmelden bij de ontwikkelaarsportal met een Azure AD-account dat u in de vorige secties hebt geconfigureerd:

  1. Open een nieuw browservenster met behulp van de aanmeldings-URL van de Active Directory-toepassingsconfiguratie.

  2. Selecteer Azure Active Directory.

    Aanmeldingspagina

  3. Voer de referenties in van een van de gebruikers in Azure AD.

  4. Selecteer Aanmelden.

    Aanmelden met gebruikersnaam en wachtwoord

  5. Als u hierom wordt gevraagd met een registratieformulier, vult u de vereiste aanvullende informatie in.

  6. Selecteer Registreren.

    Knop 'Registreren' op het registratieformulier

De gebruiker is nu aangemeld bij de ontwikkelaarsportal voor uw API Management service-exemplaar.

Ontwikkelaarsportal nadat de registratie is voltooid

Volgende stappen