Авторизация учетных записей разработчиков через Microsoft Entra ID в службе управления Azure API

Статья
12/08/2023

В этой статье вы узнаете, как выполнять следующие задачи.

Включите доступ к порталу разработчика для пользователей из идентификатора Microsoft Entra.
Управление группами пользователей Microsoft Entra путем добавления внешних групп, содержащих пользователей.

Для получения общих сведений о вариантах защиты портала разработчика см. статью Безопасный доступ к порталу разработчика "Управление API".

Внимание

Эта статья была обновлена с инструкциями по настройке приложения Microsoft Entra с помощью библиотеки проверки подлинности Майкрософт (MSAL).
Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью библиотеки аутентификация Azure AD (ADAL), рекомендуется выполнить миграцию в MSAL.

Необходимые компоненты

Выполните краткое руководство по созданию экземпляра управления API Azure.
Импортируйте и опубликуйте API в экземпляре службы "Управление API Azure".

Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
- Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.
- Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.
- Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Стандартный | Премиум

Перейдите к экземпляру службы управления API.

На портале Azure найдите и выберите службы Управление API.
На странице Службы Управления API выберите экземпляр Управления API.

Чтобы упростить настройку, Управление API может автоматически включить приложение Microsoft Entra и поставщик удостоверений для пользователей портала разработчика. Кроме того, можно вручную включить приложение Microsoft Entra и поставщик удостоверений.

Автоматическое включение приложения Microsoft Entra и поставщика удостоверений

В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Обзор портала.
На странице обзора портала прокрутите вниз, чтобы включить вход пользователя с помощью идентификатора Microsoft Entra.
Выберите "Включить идентификатор Microsoft Entra".
На странице "Включить идентификатор Microsoft Entra ID" выберите "Включить идентификатор Microsoft Entra".
Выберите Закрыть.

После включения поставщика Microsoft Entra:

Пользователи в указанном экземпляре Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
Вы можете управлять конфигурацией Microsoft Entra на странице удостоверений портала>разработчика на портале.
При необходимости настройте другие параметры входа, выбрав Удостоверения>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Включение приложения Microsoft Entra и поставщика удостоверений вручную

В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Удостоверения.
Выберите + Добавить вверху, чтобы открыть область Добавление поставщика удостоверений справа.
В разделе " Тип" выберите идентификатор Microsoft Entra в раскрывающемся меню. После выбора вы сможете ввести другие необходимые сведения,
- В раскрывающемся списке Клиентской библиотеки выберите MSAL.
- Сведения о добавлении Идентификатора клиента и Секрета клиента см. далее в этой статье.
Сохраните URL-адрес перенаправления для дальнейшего использования.
Примечание.

Существуют два URL-адреса перенаправления:
- URL-адрес перенаправления указывает на последнюю версию портала разработчика службы "Управление API".
- URL-адрес перенаправления (нерекомендуемый портал) указывает на нерекомендуемый портал разработчика службы "Управление API".
Рекомендуется использовать актуальный URL-адрес перенаправления портала разработчика.
В браузере откройте портал Azure в новой вкладке.
Выберите Регистрация приложений, чтобы зарегистрировать приложение в Active Directory.
Выберите Создать регистрацию. На странице Регистрация приложения задайте необходимые значения следующим образом.
- В области Имя укажите понятное имя, например developer-portal.
- Измените значение параметра Поддерживаемые типы учетных записей на Учетные записи в любом каталоге организации.
- В области URI перенаправления выберите Одностраничное приложение (SPA) и вставьте URL-адрес перенаправления, сохраненный на предыдущем шаге.
- Выберите Зарегистрировать.
После регистрации приложения скопируйте идентификатор приложения (клиента) на странице Обзор.
Перейдите на вкладку браузера с экземпляром Управления API.
В окне Добавление поставщика удостоверений вставьте значение идентификатора приложения (клиента) в поле Идентификатор клиента.
Перейдите на вкладку браузера с регистрацией приложения.
Выберите соответствующую регистрацию приложения.
В разделе "Управление" бокового меню выберите сертификаты и секреты.
На странице "Сертификаты и секреты" нажмите кнопку "Новый секрет клиента" в разделе "Секреты клиента".
- Введите Описание.
- Выберите любое значение для параметра Истекает.
- Нажмите кнопку Добавить.
Скопируйте значение секрета клиента и закройте страницу. Оно понадобится вам позднее.
В разделе Управление в боковом меню выберите Проверка подлинности.
1. В разделе Неявное предоставление разрешения и гибридные потоки установите флажок Токены идентификации.
2. Выберите Сохранить.
В разделе Управление в боковом меню выберите Конфигурация токена>+ Добавить необязательное утверждение.
1. В разделе Тип токена выберите ИД.
2. Выберите (установите флажки) следующие утверждения: email, family_name, given_name.
3. Выберите Добавить. При появлении запроса выберите Turn on the Microsoft Graph email, profile permission (Включить разрешение профиля, электронной почты Microsoft Graph).
Перейдите на вкладку браузера с экземпляром Управления API.
Вставьте секрет в поле Секрет клиента в области Добавление поставщика удостоверений.

Внимание

Обновите секрет клиента до истечения срока действия ключа.
В поле "Добавление разрешенных клиентов поставщика удостоверений" укажите домены экземпляра Microsoft Entra, которым требуется предоставить доступ к API экземпляра службы Управление API.
- Несколько доменов можно разделять символами начала новой строки, пробелами или запятыми.
Примечание.

В разделе Разрешенные клиенты можно указать несколько доменов. Глобальный администратор должен предоставить приложению доступ к данным каталога, прежде чем пользователи смогут войти из домена, отличного от исходного домена регистрации приложения. Чтобы предоставить разрешение, глобальный администратор должен выполнить следующее:
1. Перейдите на страницу https://<URL of your developer portal>/aadadminconsent (например, https://contoso.portal.azure-api.net/aadadminconsent).
2. Введите доменное имя клиента Microsoft Entra, которому они хотят предоставить доступ.
3. Выберите Отправить.
После указания требуемой конфигурации выберите Добавить.
Повторно опубликуйте портал разработчика для настройки Microsoft Entra, чтобы ввести в силу. В меню слева в разделе Портал разработчика щелкните Обзор портала>Опубликовать.

После включения поставщика Microsoft Entra:

Пользователи в указанном экземпляре Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
Вы можете управлять конфигурацией Microsoft Entra на странице удостоверений портала>разработчика на портале.
При необходимости настройте другие параметры входа, выбрав Удостоверения>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Миграция в MSAL

Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью ADAL, вы можете использовать портал для переноса приложения в MSAL и обновления поставщика удостоверений в Управление API.

Обновление приложения Microsoft Entra для совместимости MSAL

Инструкции см. в разделе Переключение URI перенаправления на тип одностраничного приложения.

Обновление конфигурации поставщика удостоверений

В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Удостоверения.
Выберите идентификатор Microsoft Entra из списка.
В раскрывающемся списке Клиентской библиотеки выберите MSAL.
Выберите Обновить.
Повторно опубликуйте портал разработчика.

Добавление внешней группы Microsoft Entra

Теперь, когда вы включили доступ для пользователей в клиенте Microsoft Entra, вы можете:

Добавьте группы Microsoft Entra в Управление API.
Управление видимостью продукта с помощью групп Microsoft Entra.

Перейдите на страницу "Регистрация приложений" для приложения, зарегистрированного в предыдущем разделе.
Выберите Разрешения API.
Добавьте следующие минимальные разрешения приложения для API Microsoft Graph:
- User.Read.Allразрешение приложения — поэтому Управление API может считывать членство пользователя в группе для выполнения синхронизации групп во время входа пользователя.
- Group.Read.Allразрешение приложения — поэтому Управление API может считывать группы Microsoft Entra, когда администратор пытается добавить группу в Управление API с помощью колонки "Группы" на портале.
Выберите Предоставить согласие администратора для {имя_клиента}, чтобы предоставить доступ всем пользователям в этом каталоге.

Теперь можно добавить внешние группы Microsoft Entra на вкладке "Группы" Управление API экземпляра.

В разделе Портал разработчика бокового меню выберите Группы.
Нажмите кнопку "Добавить группу Записей Майкрософт".
Выберите Арендатор из раскрывающегося списка.
Найдите и выберите группу для добавления.
Нажмите кнопку Выбрать.

После добавления внешней группы Microsoft Entra можно просмотреть и настроить его свойства:

Выберите имя группы на вкладке Группы.
Измените имя и описание группы.

Теперь пользователи из настроенного экземпляра Microsoft Entra могут:

Входить на портал разработчика.
Просматривать любые группы, которые они могут видеть, и подписываться на них.

Примечание.

Узнайте больше о различиях между делегированными разрешениями и разрешениями приложений из статьи Разрешения и согласие на платформе удостоверений Майкрософт.

Синхронизация групп Microsoft Entra с Управление API

Группы, настроенные в Microsoft Entra, должны синхронизироваться с Управление API, чтобы их можно было добавить в экземпляр. Если группы не синхронизируются автоматически, выполните одно из следующих действий, чтобы синхронизировать сведения о группах вручную:

Выйдите и войдите в идентификатор Microsoft Entra. Обычно это действие активирует синхронизацию групп.
Убедитесь, что клиент входа Microsoft Entra указан таким же образом (используя один из идентификаторов клиента или доменного имени) в параметрах конфигурации в Управление API. Вы указываете клиент входа в поставщик удостоверений Идентификатора Microsoft Entra для портала разработчика и при добавлении группы Microsoft Entra в Управление API.

Портал разработчика. Добавление проверки подлинности учетной записи Microsoft Entra

На портале разработчика можно войти с помощью идентификатора Microsoft Entra с помощью кнопки входа: мини-приложение OAuth , включенное на страницу входа содержимого портала разработчика по умолчанию.

Снимок экрана: мини-приложение OAuth на портале разработчика.

Хотя новая учетная запись будет автоматически создана при входе нового пользователя с помощью идентификатора Microsoft Entra, рассмотрите возможность добавления того же мини-приложения на страницу регистрации. Виджет Форма регистрации: OAuth представляет форму для регистрации с помощью OAuth.