Udostępnij za pośrednictwem


Informacje o poświadczeniach interfejsu API i menedżerze poświadczeń

DOTYCZY: Wszystkie warstwy usługi API Management

Aby ułatwić zarządzanie dostępem do interfejsów API zaplecza, wystąpienie usługi API Management zawiera menedżera poświadczeń. Menedżer poświadczeń służy do zarządzania poświadczeniami interfejsu API, przechowywania i kontrolowania dostępu do poświadczeń interfejsu API z wystąpienia usługi API Management.

Uwaga

  • Obecnie można użyć menedżera poświadczeń do konfigurowania połączeń (dawniej nazywanych autoryzacjami) dla interfejsów API OAuth 2.0 zaplecza i zarządzania nimi.
  • Menedżer poświadczeń nie wprowadza żadnych zmian powodujących niezgodność. Dostawcy poświadczeń i połączenia protokołu OAuth 2.0 używają istniejących interfejsów API autoryzacji usługi API Management i dostawcy zasobów.

Uwaga

Obecnie ta funkcja nie jest dostępna w obszarach roboczych.

Połączenia zarządzane dla interfejsów API protokołu OAuth 2.0

Za pomocą menedżera poświadczeń można znacznie uprościć proces uwierzytelniania i autoryzowania użytkowników, grup i jednostek usługi w co najmniej jednym zapleczu lub usługach SaaS korzystających z protokołu OAuth 2.0. Za pomocą menedżera poświadczeń usługi API Management można łatwo skonfigurować protokół OAuth 2.0, wyrazić zgodę, uzyskać tokeny, tokeny pamięci podręcznej w magazynie poświadczeń i odświeżać tokeny bez konieczności pisania pojedynczego wiersza kodu. Użyj zasad dostępu, aby delegować uwierzytelnianie do wystąpienia usługi API Management, jednostek usługi, użytkowników lub grup. Aby uzyskać informacje na temat przepływu kodu autoryzacji OAuth 2.0, zobacz Platforma tożsamości Microsoft i przepływ kodu autoryzacji OAuth 2.0.

Ta funkcja umożliwia uwidocznienie interfejsów API z kluczem subskrypcji lub bez niego, używanie autoryzacji OAuth 2.0 dla usług zaplecza oraz zmniejszanie kosztów programowania w zwiększaniu, implementowaniu i utrzymywaniu funkcji zabezpieczeń za pomocą integracji usług.

Diagram przedstawiający menedżera poświadczeń usługi API Management i obsługiwanych dostawców tożsamości SaaS.

Przykładowe przypadki użycia

Za pomocą połączeń OAuth zarządzanych w usłudze API Management klienci mogą łatwo łączyć się z dostawcami SaaS lub usługami zaplecza korzystającymi z protokołu OAuth 2.0. Oto kilka przykładów:

  • Łatwe nawiązywanie połączenia z zapleczem SaaS przez dołączenie przechowywanego tokenu autoryzacji i żądań serwera proxy

  • Żądania serwera proxy do aplikacji internetowej usługi aplikacja systemu Azure Service lub zaplecza usługi Azure Functions przez dołączenie tokenu autoryzacji, który może później wysyłać żądania do zaplecza SaaS stosując logikę przekształcania

  • Żądania serwera proxy do zapleczy federacyjnych graphQL przez dołączenie wielu tokenów dostępu w celu łatwego wykonywania federacji

  • Uwidaczniaj punkt końcowy tokenu pobierania, uzyskiwanie buforowanego tokenu i wywoływanie zaplecza SaaS w imieniu użytkownika z dowolnego wystąpienia obliczeniowego, na przykład aplikacji konsolowej lub demona Kubernetes. Połącz swój ulubiony zestaw SDK SaaS w obsługiwanym języku.

  • Scenariusze nienadzorowane usługi Azure Functions podczas nawiązywania połączenia z wieloma zapleczami SaaS.

  • Rozszerzenie Durable Functions zbliża się do usługi Logic Apps z łącznością SaaS.

  • W przypadku połączeń OAuth 2.0 każdy interfejs API w usłudze API Management może pełnić rolę łącznika niestandardowego usługi Logic Apps.

Jak działa menedżer poświadczeń?

Poświadczenia tokenu w menedżerze poświadczeń składają się z dwóch części: zarządzania i środowiska uruchomieniowego.

  • Część zarządzania w Menedżerze poświadczeń zajmuje się konfigurowaniem i konfigurowaniem dostawcy poświadczeń dla tokenów OAuth 2.0, włączaniem przepływu zgody dla dostawcy tożsamości i konfigurowaniem co najmniej jednego połączenia z dostawcą poświadczeń w celu uzyskania dostępu do poświadczeń. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie połączeniami.

  • Część środowiska uruchomieniowego używa get-authorization-context zasad do pobierania i przechowywania tokenów dostępu i odświeżania połączenia. Po wywołaniu usługi API Management i wykonaniu get-authorization-context zasad najpierw sprawdza, czy istniejący token autoryzacji jest prawidłowy. Jeśli token autoryzacji wygasł, usługa API Management używa przepływu OAuth 2.0 w celu odświeżenia przechowywanych tokenów od dostawcy tożsamości. Następnie token dostępu jest używany do autoryzowania dostępu do usługi zaplecza. Aby uzyskać szczegółowe informacje, zobacz Runtime of connections (Środowisko uruchomieniowe połączeń).

Kiedy używać menedżera poświadczeń?

Poniżej przedstawiono trzy scenariusze korzystania z menedżera poświadczeń.

Scenariusz konfiguracji

Po skonfigurowaniu dostawcy poświadczeń i połączeniu menedżer interfejsu API może przetestować połączenie. Menedżer interfejsu API konfiguruje testowy interfejs API OAuth zaplecza do używania get-authorization-context zasad przy użyciu tożsamości zarządzanej wystąpienia. Menedżer interfejsów API może następnie przetestować połączenie, wywołując testowy interfejs API.

Diagram scenariusza początkowej konfiguracji dla menedżera poświadczeń.

Scenariusz nienadzorowany

Domyślnie po utworzeniu połączenia zasady dostępu i połączenie są wstępnie skonfigurowane dla tożsamości zarządzanej wystąpienia usługi API Management. Aby użyć takiego połączenia, różni użytkownicy mogą zalogować się do aplikacji klienckiej, takiej jak statyczna aplikacja internetowa, która następnie wywołuje interfejs API zaplecza uwidoczniony za pośrednictwem usługi API Management. Aby wykonać to wywołanie, połączenia są stosowane przy użyciu get-authorization-context zasad. Ponieważ wywołanie interfejsu API używa wstępnie skonfigurowanego połączenia, które nie jest powiązane z kontekstem użytkownika, te same dane są zwracane do wszystkich użytkowników.

Diagram scenariusza tożsamości zarządzanej dla menedżera poświadczeń.

Scenariusz z udziałem (delegowany przez użytkownika)

Aby włączyć uproszczone środowisko uwierzytelniania dla użytkowników aplikacji klienckich, takich jak statyczne aplikacje internetowe, które wywołuje interfejsy API SaaS zaplecza, które wymagają kontekstu użytkownika, możesz włączyć dostęp do połączenia w imieniu użytkownika lub tożsamości grupy firmy Microsoft. W takim przypadku skonfigurowany użytkownik musi zalogować się i wyrazić zgodę tylko raz, a wystąpienie usługi API Management utworzy połączenie i będzie nim zarządzać. Gdy usługa API Management pobiera przychodzące wywołanie, które ma zostać przekazane do usługi zewnętrznej, dołącza token dostępu z połączenia do żądania. Jest to idealne rozwiązanie w przypadku, gdy żądania interfejsu API i odpowiedzi są kierowane do osoby fizycznej (na przykład pobierania informacji o profilu specyficznym dla użytkownika).

Diagram scenariusza delegowanego przez użytkownika dla menedżera poświadczeń.

Jak skonfigurować menedżera poświadczeń?

Wymagania

  • Tożsamość przypisana przez system zarządzana musi być włączona dla wystąpienia usługi API Management.

  • Wystąpienie usługi API Management musi mieć łączność wychodzącą z Internetem na porcie 443 (HTTPS).

Dostępność

  • Wszystkie warstwy usługi API Management

  • Nieobsługiwane w bramie hostowanej samodzielnie

  • Nieobsługiwane w suwerennych chmurach lub w następujących regionach: australiacentral, australiacentral2, indiecentral

Przykłady krok po kroku

Zagadnienia dotyczące zabezpieczeń

Token dostępu i inne wpisy tajne (na przykład wpisy tajne klienta) są szyfrowane za pomocą szyfrowania koperty i przechowywane w wewnętrznym, wielodostępnym magazynie. Dane są szyfrowane przy użyciu protokołu AES-128 przy użyciu klucza unikatowego dla danych. Te klucze są szyfrowane asymetrycznie przy użyciu certyfikatu głównego przechowywanego w usłudze Azure Key Vault i obracane co miesiąc.

Limity

Zasób Limit
Maksymalna liczba dostawców poświadczeń na wystąpienie usługi 1000
Maksymalna liczba połączeń na dostawcę poświadczeń 10,000
Maksymalna liczba zasad dostępu na połączenie 100
Maksymalna liczba żądań autoryzacji na minutę na połączenie 250

Często zadawane pytania

Kiedy tokeny dostępu są odświeżane?

W przypadku połączenia kodu autoryzacji typu tokeny dostępu są odświeżane w następujący sposób: Po get-authorization-context wykonaniu zasad w czasie wykonywania usługa API Management sprawdza, czy przechowywany token dostępu jest prawidłowy. Jeśli token wygasł lub zbliża się do wygaśnięcia, usługa API Management używa tokenu odświeżania do pobrania nowego tokenu dostępu i nowego tokenu odświeżania od skonfigurowanego dostawcy tożsamości. Jeśli token odświeżania wygasł, zostanie zgłoszony błąd, a połączenie musi zostać ponownie uwierzytelnione, zanim będzie działać.

Co się stanie, jeśli wpis tajny klienta wygaśnie u dostawcy tożsamości?

W środowisku uruchomieniowym usługa API Management nie może pobrać nowych tokenów i wystąpi błąd.

  • Jeśli połączenie jest kodem autoryzacji typu, klucz tajny klienta musi zostać zaktualizowany na poziomie dostawcy poświadczeń.

  • Jeśli połączenie jest typu poświadczenia klienta, klucz tajny klienta musi zostać zaktualizowany na poziomie połączenia.

Czy ta funkcja jest obsługiwana przy użyciu usługi API Management działającej wewnątrz sieci wirtualnej?

Tak, o ile łączność wychodząca na porcie 443 jest włączona do tagu usługi AzureConnectors . Aby uzyskać więcej informacji, zobacz Dokumentacja konfiguracji sieci wirtualnej.

Co się stanie po usunięciu dostawcy poświadczeń?

Wszystkie podstawowe połączenia i zasady dostępu również są usuwane.

Czy tokeny dostępu są buforowane przez usługę API Management?

W warstwach usług klasycznych i 2 token dostępu jest buforowany przez wystąpienie usługi API Management do 3 minut przed upływem czasu wygaśnięcia tokenu. Jeśli token dostępu jest krótszy niż 3 minuty od wygaśnięcia, czas buforowany będzie do czasu wygaśnięcia tokenu dostępu.

Tokeny dostępu nie są buforowane w warstwie Zużycie.