Konfigurowanie typowych dostawców poświadczeń w menedżerze poświadczeń
DOTYCZY: Wszystkie warstwy usługi API Management
W tym artykule dowiesz się więcej o konfigurowaniu dostawców tożsamości dla połączeń zarządzanych w wystąpieniu usługi API Management. Ustawienia dla następujących typowych dostawców są pokazane:
- Dostawca usługi Microsoft Entra
- Ogólny dostawca OAuth 2.0
Należy skonfigurować dostawcę poświadczeń w menedżerze poświadczeń wystąpienia usługi API Management. Aby zapoznać się z przykładem krok po kroku konfigurowania dostawcy i połączenia firmy Microsoft Entra, zobacz:
Wymagania wstępne
Aby skonfigurować dowolnego z obsługiwanych dostawców w usłudze API Management, najpierw skonfiguruj aplikację OAuth 2.0 u dostawcy tożsamości, która będzie używana do autoryzowania dostępu do interfejsu API. Aby uzyskać szczegółowe informacje o konfiguracji, zobacz dokumentację dewelopera dostawcy.
Jeśli tworzysz dostawcę poświadczeń, który używa typu udzielania kodu autoryzacji, skonfiguruj adres URL przekierowania (czasami nazywany adresem URL wywołania zwrotnego autoryzacji lub podobną nazwą) w aplikacji. Dla wartości wprowadź wartość
https://authorization-manager.consent.azure-apim.net/redirect/apim/<YOUR-APIM-SERVICENAME>.W zależności od scenariusza skonfiguruj ustawienia aplikacji, takie jak zakresy (uprawnienia interfejsu API).
Co najmniej pobierz następujące poświadczenia aplikacji, które zostaną skonfigurowane w usłudze API Management: identyfikator klienta aplikacji i klucz tajny klienta.
W zależności od dostawcy i scenariusza może być konieczne pobranie innych ustawień, takich jak adresy URL punktu końcowego autoryzacji lub zakresy.
Dostawca usługi Microsoft Entra
Menedżer poświadczeń interfejsu API obsługuje dostawcę tożsamości Firmy Microsoft Entra, który jest usługą tożsamości na platformie Microsoft Azure, która zapewnia funkcje zarządzania tożsamościami i kontroli dostępu. Umożliwia użytkownikom bezpieczne logowanie się przy użyciu standardowych protokołów branżowych.
- Obsługiwane typy udzielania: kod autoryzacji, poświadczenia klienta
Uwaga
Obecnie dostawca poświadczeń entra firmy Microsoft obsługuje tylko punkty końcowe usługi Azure AD w wersji 1.0.
Ustawienia dostawcy entra firmy Microsoft
| Właściwości | Opis | Wymagani | Wartość domyślna |
|---|---|---|---|
| Nazwa dostawcy | Nazwa zasobu dostawcy poświadczeń w usłudze API Management | Tak | Nie dotyczy |
| Dostawca tożsamości | Wybieranie usługi Azure Active Directory w wersji 1 | Tak | Nie dotyczy |
| Typ udzielenia | Typ udzielania autoryzacji OAuth 2.0 do użycia W zależności od scenariusza wybierz pozycję Kod autoryzacji lub Poświadczenia klienta. |
Tak | Kod autoryzacji |
| Adres URL autoryzacji | https://graph.microsoft.com |
Tak | Nie dotyczy |
| Client ID | Identyfikator aplikacji (klienta) używany do identyfikowania aplikacji Microsoft Entra | Tak | Nie dotyczy |
| Klucz tajny klienta | Klucz tajny klienta używany dla aplikacji Microsoft Entra | Tak | Nie dotyczy |
| Adres URL logowania | Adres URL logowania entra firmy Microsoft | Nie. | https://login.windows.net |
| Adres URL zasobu | Adres URL zasobu, który wymaga autoryzacji Przykład: https://graph.microsoft.com |
Tak | Nie dotyczy |
| Identyfikator dzierżawy | Identyfikator dzierżawy aplikacji Microsoft Entra | Nie. | typowe |
| Zakresy | Co najmniej jedno uprawnienie interfejsu API dla aplikacji Microsoft Entra oddzielone znakiem " Przykład: ChannelMessage.Read.All User.Read |
Nie. | Uprawnienia interfejsu API ustawione w aplikacji Microsoft Entra |
Dostawcy ogólnego protokołu OAuth 2.0
Do konfigurowania połączeń można użyć dwóch ogólnych dostawców:
- Ogólne uwierzytelnianie OAuth 2.0
- Ogólny protokół OAuth 2.0 z protokołem PKCE
Dostawca ogólny umożliwia korzystanie z własnego dostawcy tożsamości OAuth 2.0 na podstawie konkretnych potrzeb.
Uwaga
Zalecamy użycie ogólnego protokołu OAuth 2.0 z dostawcą PKCE w celu zwiększenia bezpieczeństwa, jeśli dostawca tożsamości go obsługuje. Dowiedz się więcej
- Obsługiwane typy udzielania: kod autoryzacji, poświadczenia klienta
Ogólne ustawienia dostawcy poświadczeń
| Właściwości | Opis | Wymagani | Wartość domyślna |
|---|---|---|---|
| Nazwa dostawcy | Nazwa zasobu dostawcy poświadczeń w usłudze API Management | Tak | Nie dotyczy |
| Dostawca tożsamości | Wybierz pozycję Ogólne Oauth 2 lub Ogólne Oauth 2 z PKCE. | Tak | Nie dotyczy |
| Typ udzielenia | Typ udzielania autoryzacji OAuth 2.0 do użycia W zależności od scenariusza i dostawcy tożsamości wybierz pozycję Kod autoryzacji lub Poświadczenia klienta. |
Tak | Kod autoryzacji |
| Adres URL autoryzacji | Adres URL punktu końcowego autoryzacji | Nie. | NIEUŻYWANE |
| Client ID | Identyfikator używany do identyfikowania aplikacji na serwerze autoryzacji dostawcy tożsamości | Tak | Nie dotyczy |
| Klucz tajny klienta | Wpis tajny używany przez aplikację do uwierzytelniania za pomocą serwera autoryzacji dostawcy tożsamości | Tak | Nie dotyczy |
| Odśwież adres URL | Adres URL, do którego aplikacja wysyła żądanie w celu wymiany tokenu odświeżania dla odnowionego tokenu dostępu | Nie. | NIEUŻYWANE |
| Adres URL tokenu | Adres URL na serwerze autoryzacji dostawcy tożsamości używany do programowego żądania tokenów | Tak | Nie dotyczy |
| Zakresy | Co najmniej jedna konkretna akcja, którą aplikacja może wykonać, lub informacje, których może zażądać w imieniu użytkownika z interfejsu API, oddzielone znakiem " Przykład: user web api openid |
Nie. | Nie dotyczy |
Inni dostawcy tożsamości
Usługa API Management obsługuje kilku dostawców popularnych ofert SaaS, w tym GitHub, LinkedIn i innych. Podczas tworzenia dostawcy poświadczeń możesz wybrać z listy tych dostawców w witrynie Azure Portal.
Obsługiwane typy udzielania: kod autoryzacji, poświadczenia klienta (zależy od dostawcy)
Wymagane ustawienia dla tych dostawców różnią się od dostawcy do dostawcy, ale są podobne do tych dla ogólnych dostawców OAuth 2.0. Zapoznaj się z dokumentacją dla deweloperów dla każdego dostawcy.
Powiązana zawartość
- Dowiedz się więcej o zarządzaniu połączeniami w usłudze API Management.
- Utwórz połączenie dla identyfikatora Entra firmy Microsoft lub usługi GitHub.