Autoryzowanie kont deweloperów przy użyciu identyfikatora Microsoft Entra w usłudze Azure API Management

DOTYCZY: Developer | Podstawowa wersja 2 | Standardowa | Standardowa, wersja 2 | Premium | Premium, wersja 2

Ten artykuł obejmuje następujące zagadnienia:

• Włącz dostęp do portalu deweloperów dla użytkowników z witryny Microsoft Entra ID.
• Zarządzaj grupami użytkowników firmy Microsoft Entra, dodając grupy zewnętrzne zawierające użytkowników.

Aby zapoznać się z omówieniem opcji zabezpieczania portalu deweloperów, zobacz Bezpieczny dostęp do portalu deweloperów usługi API Management.

Ważne

• Ten artykuł został zaktualizowany o kroki konfigurowania aplikacji Microsoft Entra przy użyciu biblioteki Microsoft Authentication Library (MSAL).
• Jeśli wcześniej skonfigurowano aplikację Microsoft Entra na potrzeby logowania użytkownika przy użyciu biblioteki Azure AD Authentication Library (ADAL), zalecamy przeprowadzenie migracji do biblioteki MSAL.

Wymagania wstępne

• Ukończ przewodnik Szybki start Tworzenie wystąpienia usługi Azure API Management.

• Importowanie i publikowanie interfejsu API w wystąpieniu usługi Azure API Management.

• Jeśli wystąpienie zostało utworzone w warstwie v2, włącz portal deweloperów. Aby uzyskać więcej informacji, zobacz Samouczek: dostęp i dostosowywanie portalu deweloperów.

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Po wyświetleniu komunikatu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

Przejdź do wystąpienia usługi API Management

1. W portalu Azure wyszukaj i wybierz usługi API Management.

   

2. Na stronie usług API Management wybierz instancję API Management.

   

Włączanie logowania użytkownika przy użyciu identyfikatora Entra firmy Microsoft — portal

Aby uprościć konfigurację, usługa API Management może automatycznie włączyć aplikację i dostawcę tożsamości firmy Microsoft dla użytkowników portalu deweloperów. Alternatywnie możesz ręcznie włączyć aplikację Microsoft Entra oraz dostawcę tożsamości.

Automatyczne włączanie aplikacji Microsoft Entra oraz automatyczne włączanie dostawcy tożsamości

1. W menu po lewej stronie Twojego wystąpienia usługi API Management, w obszarze Portal dewelopera, wybierz pozycję Przegląd portalu.

2. Na stronie przeglądu portalu przewiń w dół do pozycji Włącz logowanie użytkowników za pomocą Microsoft Entra ID.

3. Wybierz Włącz Microsoft Entra ID.

4. Na stronie Włącz identyfikator Microsoft Entra ID, wybierz Włącz identyfikator Microsoft Entra ID.

5. Wybierz Zamknij.

   

Po włączeniu dostawcy Microsoft Entra:

• Użytkownicy w określonym wystąpieniu Microsoft Entra mogą zalogować się do portalu programistycznego przy użyciu konta Microsoft Entra.
• Możesz zarządzać konfiguracją Microsoft Entra na stronie portalu dewelopera>Tożsamości w portalu.
• Opcjonalnie skonfiguruj inne ustawienia logowania, wybierając pozycję >. Możesz na przykład przekierować użytkowników anonimowych na stronę logowania.
• Opublikuj ponownie portal deweloperów po każdej zmianie konfiguracji.

Ręczne włączenie aplikacji Microsoft Entra i dostawcy tożsamości

1. W menu po lewej stronie wystąpienia usługi API Management, w obszarze Portalu Dewelopera, wybierz Tożsamości.

2. Wybierz pozycję +Dodaj u góry, aby otworzyć okienko Dodaj dostawcę tożsamości po prawej stronie.

3. W obszarze Typ wybierz pozycję Microsoft Entra ID z menu rozwijanego. Po wybraniu tej opcji będzie można wprowadzić inne niezbędne informacje.

   • Z listy rozwijanej Biblioteka klienta wybierz pozycję MSAL.
   • Aby dodać identyfikator klienta i klucz tajny klienta, zobacz kroki opisane w dalszej części artykułu.

4. Zapisz adres URL przekierowania na później.

   

5. W przeglądarce otwórz witrynę Azure Portal na nowej karcie.

6. Przejdź do Rejestracje aplikacji, aby zarejestrować aplikację w usłudze Active Directory.

7. Wybierz opcjęNowa rejestracja. Na stronie Rejestrowanie aplikacji ustaw następujące wartości:

   • Ustaw nazwę na zrozumiałą, na przykład developer-portal
   • Ustaw Obsługiwane typy kont na Konta w dowolnym katalogu organizacyjnym.
   • W polu URI przekierowania wybierz Aplikację jednostronicową (SPA) i wklej URL przekierowania zapisany z poprzedniego kroku.
   • Wybierz pozycję Zarejestruj.

8. Po zarejestrowaniu aplikacji skopiuj identyfikator aplikacji (klienta) ze strony Przegląd .

9. Przejdź do karty przeglądarki z otwartym wystąpieniem usługi API Management.

10. W oknie Dodawanie dostawcy tożsamości wklej wartość Identyfikator aplikacji (klienta) do pola Identyfikator klienta.

11. Przejdź do karty przeglądarki z rejestracją aplikacji.

12. Wybierz odpowiednią rejestrację aplikacji.

13. W sekcji Zarządzanie menu bocznego wybierz pozycję Certyfikaty i wpisy tajne.

14. Na stronie Certyfikaty i wpisy tajne wybierz przycisk Nowy klucz tajny klienta w obszarze Wpisy tajne klienta.

    • Wprowadź opis.
    • Wybierz dowolną opcję wygasania.
    • Wybierz opcję Dodaj.

15. Skopiuj wartość klucza tajnego klienta przed opuszczeniem strony. Będzie potrzebny później.

16. W Zarządzaj w menu bocznym wybierz Konfiguracja tokenu>+ Dodaj opcjonalne oświadczenie.

    1. W polu Typ tokenu wybierz pozycję Identyfikator.
    2. Wybierz (zaznacz) następujące oświadczenia: email, family_name, given_name.
    3. Wybierz Dodaj. Jeśli zostanie wyświetlony monit, wybierz pozycję Włącz uprawnienia do wiadomości e-mail i profilu w Microsoft Graph.

17. Przejdź do karty przeglądarki, na której znajduje się Twoje wystąpienie usługi API Management.

18. Wklej klucz tajny do pola Klucz tajny klienta w okienku Dodawanie dostawcy tożsamości.

    Ważne

    Zaktualizuj klucz tajny klienta przed wygaśnięciem klucza.

19. W Dzierżawa logowania określ nazwę dzierżawy lub identyfikator do użycia podczas logowania do Microsoft Entra. Jeśli nie określono żadnej wartości, używany jest wspólny punkt końcowy.

20. W Dozwolone dzierżawy dodaj określone nazwy dzierżawy lub identyfikatory firmy Microsoft Entra, aby umożliwić logowanie się do Microsoft Entra.

21. Po określeniu żądanej konfiguracji wybierz pozycję Dodaj.

22. Opublikuj ponownie portal dla deweloperów, aby konfiguracja firmy Microsoft Entra weszła w życie. W menu po lewej stronie, w obszarze Portal deweloperów, wybierz Przegląd portalu oraz Publikuj.

Po włączeniu dostawcy Microsoft Entra:

• Użytkownicy w określonych dzierżawach Microsoft Entra mogą zalogować się do portalu dla deweloperów przy użyciu konta Microsoft Entra.
• Konfigurację firmy Microsoft Entra można zarządzać na stronie Tożsamości portalu>dla deweloperów w portalu.
• Opcjonalnie skonfiguruj inne ustawienia logowania, wybierając pozycję >. Możesz na przykład przekierować użytkowników anonimowych na stronę logowania.
• Opublikuj ponownie portal deweloperów po każdej zmianie konfiguracji.

Migrowanie do biblioteki MSAL

Jeśli wcześniej skonfigurowano aplikację Microsoft Entra na potrzeby logowania użytkownika przy użyciu biblioteki ADAL, możesz użyć portalu, aby przeprowadzić migrację aplikacji do biblioteki MSAL i zaktualizować dostawcę tożsamości w usłudze API Management.

Zaktualizuj aplikację Microsoft Entra w celu zgodności z biblioteką MSAL

Aby uzyskać instrukcje wykonania kroków, zobacz Przełącz identyfikatory URI przekierowania na typ aplikacji jednostronicowej.

Aktualizowanie konfiguracji dostawcy tożsamości

1. W lewym menu wystąpienia API Management, w obszarze Portal dewelopera, wybierz pozycję Tożsamości.
2. Wybierz pozycję Microsoft Entra ID z listy.
3. Z listy rozwijanej Biblioteka klienta wybierz pozycję MSAL.
4. Wybierz Aktualizuj.
5. Opublikuj ponownie portal deweloperów.

Dodaj zewnętrzną grupę Microsoft Entra

Po włączeniu dostępu dla użytkowników w dzierżawie Microsoft Entra, możesz:

• Dodaj grupy Microsoft Entra do usługi API Management. Dodane grupy muszą znajdować się w dzierżawie, w której jest wdrażane wystąpienie usługi API Management.
• Kontrolowanie widoczności produktu przy użyciu grup firmy Microsoft Entra.

1. Przejdź do strony Rejestracja aplikacji dla aplikacji zarejestrowanej w poprzedniej sekcji.
2. Wybierz Uprawnienia API.
3. Dodaj następujące minimalne uprawnienia aplikacji dla interfejsu MICROSOFT Graph API:
   • User.Read.All uprawnienia aplikacji — aby usługa API Management mogła odczytywać członkostwo w grupie użytkownika w celu przeprowadzania synchronizacji grup w czasie logowania użytkownika.
   • Group.Read.All uprawnienia aplikacji — aby API Management mogło odczytywać grupy Microsoft Entra, gdy administrator próbuje dodać grupę do API Management przy użyciu panelu Grupy w portalu.
4. Wybierz pozycję Udziel zgody administratora dla elementu {tenantname} , aby udzielić dostępu wszystkim użytkownikom w tym katalogu.

Teraz możesz dodać zewnętrzne grupy firmy Microsoft Entra na karcie Grupy wystąpienia usługi API Management.

1. W obszarze Portal deweloperów w menu bocznym wybierz pozycję Grupy.

2. Wybierz przycisk Dodaj grupę Microsoft Entra.

   

3. Wybierz Najemcę z listy rozwijanej.

4. Wyszukaj i wybierz grupę, którą chcesz dodać.

5. Kliknij przycisk Select.

Po dodaniu zewnętrznej grupy microsoft Entra możesz przejrzeć i skonfigurować jej właściwości:

1. Wybierz nazwę grupy na karcie Grupy .
2. Edytuj informacje o nazwie i opisie grupy.

Użytkownicy ze skonfigurowanej instancji Microsoft Entra mogą teraz:

• Zaloguj się do portalu deweloperów.
• Wyświetlaj i subskrybuj wszystkie grupy, dla których mają widoczność.

Uwaga

Dowiedz się więcej na temat różnic między typami uprawnień delegowanych i aplikacji w artykule Uprawnienia i zgoda w artykule Platforma tożsamości Microsoft.

Synchronizowanie grup Microsoft Entra z usługą API Management

Grupy skonfigurowane w usłudze Microsoft Entra muszą być synchronizowane z usługą API Management, aby można było dodać je do wystąpienia. Jeśli grupy nie są synchronizowane automatycznie, wykonaj jedną z następujących czynności, aby ręcznie zsynchronizować informacje o grupie:

• Wyloguj się i zaloguj ponownie do Microsoft Entra ID. To działanie zwykle wyzwala synchronizację grup.
• Upewnij się, że dzierżawca logowania w Microsoft Entra jest określony w taki sam sposób (przy użyciu jednego z identyfikatorów dzierżawy lub nazwy domeny) w ustawieniach konfiguracji w API Management. Określasz dzierżawcę logowania w dostawcy tożsamości Microsoft Entra ID dla portalu deweloperów oraz podczas dodawania grupy w Microsoft Entra do zarządzania API.

Portal dla deweloperów: Dodawanie uwierzytelniania konta Microsoft Entra

W portalu dla deweloperów możesz zalogować się przy użyciu identyfikatora Entra firmy Microsoft przy użyciu przycisku Zaloguj: widżet OAuth dołączony na stronie logowania domyślnej zawartości portalu deweloperów.

Mimo że nowe konto zostanie utworzone automatycznie, gdy nowy użytkownik zaloguje się przy użyciu identyfikatora Entra firmy Microsoft, rozważ dodanie tego samego widżetu do strony rejestracji. Formularz rejestracji: widżet OAuth reprezentuje formularz używany do rejestrowania się w usłudze OAuth.

Ważne

Aby zmiany identyfikatora Entra firmy Microsoft zaczęły obowiązywać, należy ponownie opublikować portal .

Powiązana zawartość

• Dowiedz się więcej o Microsoft Entra ID i OAuth2.0.
• Dowiedz się więcej na temat MSAL i migracji do MSAL.
• Rozwiązywanie problemów z łącznością sieciową z programem Microsoft Graph z poziomu sieci wirtualnej.