Autorizar as contas de programador ao utilizar o Microsoft Entra ID no API Management do Azure

APLICA-SE A: Developer | Básico v2 | Padrão | Padrão v2 | Prémio | Premium v2

Neste artigo, você aprenderá a:

• Ative o acesso ao portal de programadores para utilizadores no tenant Microsoft Entra ID da sua organização ou noutros inquilinos da força de trabalho Microsoft Entra ID.
• Gerencie grupos de usuários do Microsoft Entra adicionando grupos externos que contenham os usuários.

Para obter uma descrição geral das opções para proteger o portal do programador, veja Proteger o acesso ao portal do programador na Gestão de API.

Important

• Este artigo é atualizado com os passos para configurar uma aplicação Microsoft Entra usando a Microsoft Authentication Library (MSAL).
• Se anteriormente configurou uma aplicação Microsoft Entra para iniciar sessão de utilizadores usando a Azure AD Authentication Library (ADAL), migre para MSAL.

Para cenários que envolvam o Microsoft External ID para permitir que identidades externas iniciem sessão no portal de programadores, consulte Autorizar acesso ao portal para desenvolvedores de API Management usando o Microsoft Entra External ID.

Sugestão

A API Management suporta agora o acesso ao portal de programadores a partir de utilizadores em mais do que um locatário Microsoft Entra ID, através de um único registo de aplicação e configuração de identidade. Atualmente, isto é suportado nos níveis Developer, Standard e Premium.

Pré-requisitos

• Conclua a introdução rápida Criar uma instância de Gestão de API do Azure.

• Importe e publique uma API na instância de Gerenciamento de API do Azure.

• Se você criou sua instância em uma camada v2, habilite o portal do desenvolvedor. Para obter mais informações, consulte Tutorial: Acessar e personalizar o portal do desenvolvedor.

Vá para a sua instância de Gestão de API

1. No portal do Azure, procure e selecione serviços de Gerenciamento de API:

   

2. Na página de serviços de Gerenciamento de API, selecione sua instância de Gerenciamento de API:

   

Habilitar o login do usuário usando o Microsoft Entra ID - portal

Para simplificar a configuração, o Gerenciamento de API pode habilitar automaticamente um aplicativo Microsoft Entra e um provedor de identidade para usuários do portal do desenvolvedor. Como alternativa, você pode habilitar manualmente o aplicativo Microsoft Entra e o provedor de identidade.

Habilitar automaticamente o aplicativo Microsoft Entra e o provedor de identidade

Siga estes passos para ativar automaticamente o Microsoft Entra ID no portal do programador:

1. No menu esquerdo da instância de Gerenciamento de API, em Portal do desenvolvedor, selecione Visão geral do portal.

2. Na página Visão geral do Portal, role para baixo até Ativar início de sessão do utilizador com o ID do Microsoft Entra.

3. Selecione Ativar ID do Microsoft Entra.

4. Na página Ativar ID do Microsoft Entra, selecione Ativar ID do Microsoft Entra.

5. Selecione Fechar.

   

Depois que o provedor do Microsoft Entra estiver habilitado:

• Os utilizadores do seu tenant Microsoft Entra podem iniciar sessão no portal de programadores usando uma conta Microsoft Entra.
• Pode gerir a configuração do fornecedor de identidade do Microsoft Entra na página de Identidades>.
• Opcionalmente, atualize o registo da aplicação no Microsoft Entra ID para suportar múltiplos inquilinos, conforme descrito em Configurar registo de aplicações para múltiplos inquilinos. O nome do registo padrão da aplicação criado pela API Management é o mesmo que o nome da instância de API Management.
• Opcionalmente, configure outras configurações de entrada selecionando Configurações de identidades>. Por exemplo, talvez você queira redirecionar usuários anônimos para a página de entrada.
• Republique o portal do desenvolvedor após qualquer alteração de configuração.

Habilitar manualmente o aplicativo Microsoft Entra e o provedor de identidade

Em alternativa, ative manualmente o Microsoft Entra ID no portal de programadores, registando uma aplicação no Microsoft Entra ID e configurando o fornecedor de identidade para o portal de programadores.

1. No menu esquerdo da instância de Gerenciamento de API, em Portal do desenvolvedor, selecione Identidades.

2. Selecionar + Adicionar no topo para abrir o painel Adicionar fornecedor de identidade à direita.

3. Em Tipo, selecione Microsoft Entra ID no menu suspenso. Ao selecionar esta opção, pode inserir outras informações necessárias.

   • Na lista suspensa Biblioteca de clientes, selecione MSAL.
   • Para adicionar ID do cliente e segredo do cliente, consulte as etapas mais adiante no artigo.

4. Guarde o URL de redirecionamento para mais tarde.

   

5. No navegador, abra o portal do Azure em uma nova guia.

6. Navegue até Registos de Aplicações para registar uma aplicação no Microsoft Entra ID.

7. Selecione Novo registo. Na página Registrar um aplicativo, defina os valores da seguinte maneira:

   • Definir Nome como um nome significativo, como developer-portal
   • Define os tipos de conta suportados, faz uma escolha adequada às tuas situações. Se quiser permitir que os utilizadores em múltiplos inquilinos do Microsoft Entra ID acedam ao portal do programador, selecione Contas em qualquer diretório organizacional (Multiinquilino).
   • Em URI de redirecionamento, selecione Aplicativo de página única (SPA) e cole a URL de redirecionamento salva de uma etapa anterior.
   • Selecione Registar.

8. Depois de registar a candidatura, copie o ID da Aplicação (cliente) da página de Visão Geral .

9. Alterne para a guia do navegador com sua instância de Gerenciamento de API.

10. Na janela Adicionar provedor de identidade, cole o valor da ID do aplicativo (cliente) na caixa ID do cliente.

11. Muda para o separador do navegador com o registo da aplicação.

12. Selecione o registro de aplicativo apropriado.

13. Na seção Gerenciar do menu lateral, selecione Certificados & segredos.

14. Na página Certificados & segredos, selecione o botão Novo segredo de cliente em Segredos do cliente.

    • Insira uma descrição.
    • Selecione qualquer opção para Expira.
    • Escolha Adicionar.

15. Copie o valor secreto do cliente antes de sair da página. Você precisa dele em uma etapa posterior.

16. Em Gerir no menu lateral, selecione Configuração de token>+ Adicionar declaração opcional.

    1. Em Tipo de token, selecione ID.
    2. Selecione (verifique) as seguintes alegações: email, family_name, given_name.
    3. Selecione Adicionar. Se solicitado, selecione Ativar a permissão de email e perfil do Microsoft Graph.

17. Alterne para a guia do navegador com sua instância de Gerenciamento de API.

18. Cole o segredo no campo Segredo do cliente no painel Adicionar provedor de identidade.

    Important

    Atualize o segredo do cliente antes que a chave expire.

19. Em Inquilino de início de sessão, especifique um nome ou ID de inquilino a ser usado para iniciar sessão no Microsoft Entra. Se não especificar um valor, é usado o endpoint Comum.

20. Em Inquilinos permitidos, adicione um ou mais nomes ou IDs específicos do Microsoft Entra para iniciar sessão no Microsoft Entra.

    Nota

    Se especificar inquilinos adicionais, o registo da aplicação deve estar configurado para suportar múltiplos inquilinos. Para mais informações, consulte Configurar registo de aplicações para múltiplos inquilinos.

21. Depois de especificar a configuração desejada, selecione Adicionar.

22. Republique o portal do desenvolvedor para que a configuração do Microsoft Entra entre em vigor. No menu à esquerda, em Portal do desenvolvedor, selecione Visão geral do>portal Publicar.

Depois que o provedor do Microsoft Entra estiver habilitado:

• Os utilizadores do(s) locatário(s) do Microsoft Entra especificado(s) podem entrar no portal do desenvolvedor usando uma conta do Microsoft Entra.
• Você pode gerenciar a configuração do Microsoft Entra na página Identidades no >.
• Opcionalmente, configure outras configurações de entrada selecionando Configurações de identidades>. Por exemplo, talvez você queira redirecionar usuários anônimos para a página de entrada.
• Republique o portal do desenvolvedor após qualquer alteração de configuração.

Migrar para o MSAL

Se anteriormente configurou uma aplicação Microsoft Entra para iniciar sessão de utilizadores usando ADAL, pode usar o portal para migrar a aplicação para MSAL e atualizar o fornecedor de identidade na API Management.

Atualizar o aplicativo Microsoft Entra para compatibilidade com MSAL

Para consultar as etapas, consulte Alternar URIs de redirecionamento para o tipo de aplicativo de página única.

Atualizar a configuração do provedor de identidade

1. No menu esquerdo da instância de Gerenciamento de API, em Portal do desenvolvedor, selecione Identidades.
2. Selecione Microsoft Entra ID na lista.
3. Na lista suspensa Biblioteca de clientes, selecione MSAL.
4. Selecione Atualizar.
5. Republique o seu portal de desenvolvedor.

Configurar o acesso dos utilizadores em mais do que um tenant Microsoft Entra

Nota

O suporte para acesso ao portal de programadores por utilizadores de múltiplos inquilinos do Microsoft Entra ID está atualmente disponível nas camadas Developer, Standard e Premium da Gestão de APIs.

Pode permitir o acesso ao portal do desenvolvedor por utilizadores a partir de mais de um locatário Microsoft Entra ID. Para tal:

• Configure o registo de aplicações para vários inquilinos.
• Atualize a configuração do provedor de identidade do Microsoft Entra ID no portal do programador para adicionar outro locatário.

Configurar o registo de aplicações para múltiplos inquilinos

O registo da aplicação que você configura para o fornecedor de identidade deve suportar múltiplos locatários. Pode fazer isto de uma das seguintes formas:

• Ao criar o registo da aplicação, defina Tipos de Conta Suportados para Contas em qualquer diretório organizacional (Qualquer locatário Microsoft Entra ID - Multilocação).
• Se anteriormente configurou um registo de aplicação para um único inquilino, atualize a definição de Tipos de Conta Suportados na página Gerenciar>Autenticação do registo da aplicação.

Atualizar a configuração do fornecedor de identidade do Microsoft Entra ID para múltiplos inquilinos

Atualize a configuração do fornecedor de identidade para adicionar outro inquilino:

1. No portal do Azure, vá para sua instância de Gerenciamento de API.
2. Em Portal de Programadores, selecione Identidades.
3. Selecione Microsoft Entra ID na lista.
4. No campo ID de Inquilino , adicione os IDs de inquilino extra separados por vírgulas.
5. Atualize o valor do Signin tenant para um dos tenants configurados.
6. Selecione Atualizar.
7. Republique o seu portal de desenvolvedor.

Adicionar um grupo externo do Microsoft Entra

Depois de ativar o acesso para utilizadores num tenant Microsoft Entra, pode:

• Adicione grupos do Microsoft Entra ao Gerenciamento de API. Deve adicionar grupos no tenant onde implementou a sua instância de Gestão de APIs.
• Controlar a visibilidade do produto utilizando grupos Microsoft Entra.

1. Vá à página de Registo de Aplicações para a candidatura que registou na secção anterior.
2. Selecione Permissões da API.
3. Adicione as seguintes permissões mínimas de aplicativo para a API do Microsoft Graph:
   • User.Read.All permissão de aplicação – para que a API Management possa ler a pertença ao grupo do utilizador para realizar a sincronização do grupo quando o utilizador inicia sessão.
   • Group.Read.All permissão de aplicação – para que o API Management possa ler os grupos Microsoft Entra quando um administrador tentar adicionar o grupo ao API Management usando o painel Grupos no portal.
4. Selecione Conceder consentimento do administrador para {tenantname} para conceder acesso a todos os utilizadores neste diretório.

Agora você pode adicionar grupos externos do Microsoft Entra na guia Grupos da sua instância de Gerenciamento de API.

1. Em Portal do desenvolvedor , no menu lateral, selecione Grupos.

2. Selecione o botão Adicionar grupo do Microsoft Entra.

   

3. Selecione o Inquilino na lista suspensa.

4. Procure e selecione o grupo que pretende adicionar.

5. Pressione o botão Select (Selecionar ).

Depois de adicionar um grupo externo do Microsoft Entra, pode rever e configurar as suas propriedades:

1. Selecione o nome do grupo na guia Grupos .
2. Edite as informações de Nome e Descrição do grupo.

Os usuários da instância configurada do Microsoft Entra agora podem:

• Inicia sessão no portal de programadores.
• Veja e inscreva-se em quaisquer grupos para os quais eles tenham visibilidade.

Nota

Saiba mais sobre a diferença entre os tipos de permissões Delegadas e de Aplicativo no artigo Permissões e consentimento na plataforma de identidade da Microsoft.

Sincronizar grupos do Microsoft Entra com o Gerenciamento de API

Os grupos que configuras no Microsoft Entra têm de se sincronizar com a API Management para que possas adicioná-los à tua instância. Se os grupos não sincronizarem automaticamente, use um dos seguintes passos para sincronizar manualmente a informação do grupo:

• Saia e entre no Microsoft Entra ID. Essa atividade geralmente aciona a sincronização de grupos.
• Certifique-se de que o inquilino de login do Microsoft Entra seja definido de forma consistente (usando o ID de inquilino ou nome de domínio) nas suas definições de configuração na gestão de API. Você especifica o tenant de início de sessão no fornecedor de identidade Microsoft Entra ID para o portal do programador e quando adiciona um grupo do Microsoft Entra à Gestão de API.

Portal do desenvolvedor: Adicionar autenticação de conta do Microsoft Entra

No portal para programadores, pode ativar o início de sessão com o Microsoft Entra ID usando o botão Iniciar sessão: OAuth widget incluído na página de início de sessão do conteúdo padrão do portal para programadores.

Um utilizador pode então iniciar sessão com o ID Microsoft Entra da seguinte forma:

1. Vai ao portal de programadores. Selecione Entrar.

2. Na página de Iniciar Sessão , selecione Microsoft Entra ID. Ao selecionar este botão, abre a página de login do ID Microsoft Entra.

   

   Sugestão

   Se mais do que um inquilino estiver configurado para acesso, mais do que um botão Microsoft Entra ID aparece na página de iniciação de sessão. Cada botão está identificado com o nome do inquilino.

3. Na janela de início de sessão do seu locatário Microsoft Entra, responda aos pedidos. Após o início de sessão, o utilizador é redirecionado de volta para o portal do programador.

O utilizador está agora autenticado no portal de programadores e acrescentado como uma nova identidade de utilizador de Gestão de APIs em Utilizadores.

Embora uma nova conta seja criada automaticamente quando um novo utilizador inicia sessão com o Microsoft Entra ID, considere adicionar o mesmo widget à página de inscrição. O formulário de inscrição: widget OAuth representa um formulário usado para se inscrever com OAuth.

Important

Você precisa publicar novamente o portal para que as alterações de ID do Microsoft Entra entrem em vigor.

Conteúdos relacionados

• Saiba mais sobre o Microsoft Entra ID e OAuth2.0.
• Saiba mais sobre o MSAL e a migração para o MSAL.
• Solucione problemas de conectividade de rede com o Microsoft Graph de dentro de uma rede virtual.