Авторизация учетных записей разработчиков через Microsoft Entra ID в службе управления Azure API

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовая версия 2 | Стандартный | Standard v2 | Премия

В этой статье вы узнаете, как выполнять следующие задачи.

• Включите доступ к порталу разработчика для пользователей из идентификатора Microsoft Entra.
• Управление группами пользователей Microsoft Entra путем добавления внешних групп, содержащих пользователей.

Для получения общих сведений о вариантах защиты портала разработчика см. статью Безопасный доступ к порталу разработчика "Управление API".

Внимание

• Эта статья была обновлена с инструкциями по настройке приложения Microsoft Entra с помощью библиотеки проверки подлинности Майкрософт (MSAL).
• Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью библиотеки аутентификация Azure AD (ADAL), рекомендуется выполнить миграцию в MSAL.

Необходимые компоненты

• Выполните краткое руководство по созданию экземпляра управления API Azure.

• Импортируйте и опубликуйте API в экземпляре службы "Управление API Azure".

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Перейдите к экземпляру службы управления API.

1. На портале Azure найдите и выберите службы Управление API.

   

2. На странице Службы Управления API выберите экземпляр Управления API.

   

Включение входа пользователя с помощью идентификатора Microsoft Entra — портал

Чтобы упростить настройку, Управление API может автоматически включить приложение Microsoft Entra и поставщик удостоверений для пользователей портала разработчика. Кроме того, можно вручную включить приложение Microsoft Entra и поставщик удостоверений.

Автоматическое включение приложения Microsoft Entra и поставщика удостоверений

1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Обзор портала.

2. На странице обзора портала прокрутите вниз, чтобы включить вход пользователя с помощью идентификатора Microsoft Entra.

3. Выберите "Включить идентификатор Microsoft Entra".

4. На странице "Включить идентификатор Microsoft Entra ID" выберите "Включить идентификатор Microsoft Entra".

5. Выберите Закрыть.

   

После включения поставщика Microsoft Entra:

• Пользователи в указанном экземпляре Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
• Вы можете управлять конфигурацией Microsoft Entra на странице удостоверений портала>разработчика на портале.
• При необходимости настройте другие параметры входа, выбрав Удостоверения>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
• Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Включение приложения Microsoft Entra и поставщика удостоверений вручную

1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Удостоверения.

2. Выберите + Добавить вверху, чтобы открыть область Добавление поставщика удостоверений справа.

3. В разделе " Тип" выберите идентификатор Microsoft Entra в раскрывающемся меню. После выбора вы сможете ввести другие необходимые сведения,

   • В раскрывающемся списке Клиентской библиотеки выберите MSAL.
   • Сведения о добавлении Идентификатора клиента и Секрета клиента см. далее в этой статье.

4. Сохраните URL-адрес перенаправления для дальнейшего использования.

   

5. В браузере откройте портал Azure в новой вкладке.

6. Выберите Регистрация приложений, чтобы зарегистрировать приложение в Active Directory.

7. Выберите Создать регистрацию. На странице Регистрация приложения задайте необходимые значения следующим образом.

   • В области Имя укажите понятное имя, например developer-portal.
   • Измените значение параметра Поддерживаемые типы учетных записей на Учетные записи в любом каталоге организации.
   • В области URI перенаправления выберите Одностраничное приложение (SPA) и вставьте URL-адрес перенаправления, сохраненный на предыдущем шаге.
   • Выберите Зарегистрировать.

8. После регистрации приложения скопируйте идентификатор приложения (клиента) на странице Обзор.

9. Перейдите на вкладку браузера с экземпляром Управления API.

10. В окне Добавление поставщика удостоверений вставьте значение идентификатора приложения (клиента) в поле Идентификатор клиента.

11. Перейдите на вкладку браузера с регистрацией приложения.

12. Выберите соответствующую регистрацию приложения.

13. В разделе "Управление" бокового меню выберите сертификаты и секреты.

14. На странице "Сертификаты и секреты" нажмите кнопку "Новый секрет клиента" в разделе "Секреты клиента".

    • Введите Описание.
    • Выберите любое значение для параметра Истекает.
    • Нажмите кнопку Добавить.

15. Скопируйте значение секрета клиента и закройте страницу. Оно понадобится вам позднее.

16. В разделе Управление в боковом меню выберите Конфигурация токена>+ Добавить необязательное утверждение.

    1. В разделе Тип токена выберите ИД.
    2. Выберите (установите флажки) следующие утверждения: email, family_name, given_name.
    3. Выберите Добавить. При появлении запроса выберите Turn on the Microsoft Graph email, profile permission (Включить разрешение профиля, электронной почты Microsoft Graph).

17. Перейдите на вкладку браузера с экземпляром Управления API.

18. Вставьте секрет в поле Секрет клиента в области Добавление поставщика удостоверений.

    Внимание

    Обновите секрет клиента до истечения срока действия ключа.

19. В клиенте signin укажите имя клиента или идентификатор для входа в Microsoft Entra. Если значение не указано, используется общая конечная точка.

20. В разрешенных клиентах добавьте определенные имена клиентов Microsoft Entra или идентификаторы для входа в Microsoft Entra.

21. После указания требуемой конфигурации выберите Добавить.

22. Повторно опубликуйте портал разработчика для настройки Microsoft Entra, чтобы ввести в силу. В меню слева в разделе Портал разработчика щелкните Обзор портала>Опубликовать.

После включения поставщика Microsoft Entra:

• Пользователи в указанных клиентах Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
• Вы можете управлять конфигурацией Microsoft Entra на странице удостоверений портала>разработчика на портале.
• При необходимости настройте другие параметры входа, выбрав Удостоверения>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
• Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Миграция в MSAL

Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью ADAL, вы можете использовать портал для переноса приложения в MSAL и обновления поставщика удостоверений в Управление API.

Обновление приложения Microsoft Entra для совместимости MSAL

Инструкции см. в разделе Переключение URI перенаправления на тип одностраничного приложения.

Обновление конфигурации поставщика удостоверений

1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Удостоверения.
2. Выберите идентификатор Microsoft Entra из списка.
3. В раскрывающемся списке Клиентской библиотеки выберите MSAL.
4. Выберите Обновить.
5. Повторно опубликуйте портал разработчика.

Добавление внешней группы Microsoft Entra

Теперь, когда вы включили доступ для пользователей в клиенте Microsoft Entra, вы можете:

• Добавьте группы Microsoft Entra в Управление API. Добавленные группы должны находиться в клиенте, где развертывается экземпляр Управление API.
• Управление видимостью продукта с помощью групп Microsoft Entra.

1. Перейдите на страницу "Регистрация приложений" для приложения, зарегистрированного в предыдущем разделе.
2. Выберите Разрешения API.
3. Добавьте следующие минимальные разрешения приложения для API Microsoft Graph:
   • User.Read.Allразрешение приложения — поэтому Управление API может считывать членство пользователя в группе для выполнения синхронизации групп во время входа пользователя.
   • Group.Read.Allразрешение приложения — поэтому Управление API может считывать группы Microsoft Entra, когда администратор пытается добавить группу в Управление API с помощью колонки "Группы" на портале.
4. Выберите Предоставить согласие администратора для {имя_клиента}, чтобы предоставить доступ всем пользователям в этом каталоге.

Теперь можно добавить внешние группы Microsoft Entra на вкладке "Группы" Управление API экземпляра.

1. В разделе Портал разработчика бокового меню выберите Группы.

2. Нажмите кнопку "Добавить группу Записей Майкрософт".

   

3. Выберите Арендатор из раскрывающегося списка.

4. Найдите и выберите группу для добавления.

5. Нажмите кнопку Выбрать.

После добавления внешней группы Microsoft Entra можно просмотреть и настроить его свойства:

1. Выберите имя группы на вкладке Группы.
2. Измените имя и описание группы.

Теперь пользователи из настроенного экземпляра Microsoft Entra могут:

• Входить на портал разработчика.
• Просматривать любые группы, которые они могут видеть, и подписываться на них.

Примечание.

Узнайте больше о различиях между делегированными разрешениями и разрешениями приложений из статьи Разрешения и согласие на платформе удостоверений Майкрософт.

Синхронизация групп Microsoft Entra с Управление API

Группы, настроенные в Microsoft Entra, должны синхронизироваться с Управление API, чтобы их можно было добавить в экземпляр. Если группы не синхронизируются автоматически, выполните одно из следующих действий, чтобы синхронизировать сведения о группах вручную:

• Выйдите и войдите в идентификатор Microsoft Entra. Обычно это действие активирует синхронизацию групп.
• Убедитесь, что клиент входа Microsoft Entra указан таким же образом (используя один из идентификаторов клиента или доменного имени) в параметрах конфигурации в Управление API. Вы указываете клиент входа в поставщик удостоверений Идентификатора Microsoft Entra для портала разработчика и при добавлении группы Microsoft Entra в Управление API.

Портал разработчика. Добавление проверки подлинности учетной записи Microsoft Entra

На портале разработчика можно войти с помощью идентификатора Microsoft Entra с помощью кнопки входа: мини-приложение OAuth , включенное на страницу входа содержимого портала разработчика по умолчанию.

Хотя новая учетная запись будет автоматически создана при входе нового пользователя с помощью идентификатора Microsoft Entra, рассмотрите возможность добавления того же мини-приложения на страницу регистрации. Виджет Форма регистрации: OAuth представляет форму для регистрации с помощью OAuth.

Внимание

Чтобы изменения идентификатора Записи Майкрософт вступили в силу, необходимо повторно опубликовать портал .

Связанный контент

• Дополнительные сведения об идентификаторе Microsoft Entra и OAuth2.0.
• Узнайте больше о MSAL и миграции в MSAL.
• Устранение неполадок с сетевым подключением к Microsoft Graph из виртуальной сети.