Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовый | Базовая версия 2 | Стандартный | Standard v2 | Премиум | Премиум версии 2
Управление API имеет полностью настраиваемый, автономный, управляемый портал разработчика, который можно использовать внешне (или внутри), чтобы пользователи разработчиков могли обнаруживать и взаимодействовать с API, опубликованными через Управление API. На портале разработчика имеется несколько параметров для упрощения безопасной регистрации и входа пользователей.
Примечание.
По умолчанию портал разработчика включает анонимный доступ. Этот параметр по умолчанию означает, что любой пользователь может просматривать портал и содержимое, например API без входа, хотя такие функции, как использование тестовой консоли, ограничены. Вы можете включить параметр, который требует, чтобы пользователи входить на портал разработчика. В меню портал Azure в левом меню экземпляра Управление API на портале разработчика выберите параметры удостоверений>. В разделе "Анонимные пользователи" выберите "Перенаправить анонимных пользователей" на страницу входа.
Варианты проверки подлинности
Внешние пользователи . Чтобы включить доступ к порталу разработчика для внешних пользователей, используйте внешние поставщики удостоверений, включенные через Microsoft Entra External ID.
- Например, пользователям требуется доступ к порталу разработчика с помощью существующих учетных записей социальных сетей.
- Служба предоставляет функции для обеспечения процесса регистрации и входа пользователей.
В настоящее время управление API поддерживает внешних поставщиков удостоверений при настройке в клиенте рабочей силы Идентификатора Microsoft Entra, а не во внешнем клиенте. Дополнительные сведения см. в статье "Авторизация учетных записей разработчиков с помощью внешнего идентификатора Microsoft Entra".
Примечание.
Управление API обеспечивает устаревшую поддержку Azure Active Directory B2C в качестве внешнего поставщика удостоверений. Однако мы рекомендуем использовать Microsoft Entra External ID в качестве внешнего поставщика удостоверений вместо Azure Active Directory B2C для новых развертываний портала разработчиков службы управления API.
Это важно
Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".
Внутренние пользователи . Чтобы предоставить внутренним пользователям доступ к порталу разработчика, используйте корпоративный клиент Microsoft Entra ID. Идентификатор Microsoft Entra предоставляет простой единый вход (SSO) для корпоративных пользователей, которым требуется доступ и обнаружение API через портал разработчика.
Инструкции по включению проверки подлинности Microsoft Entra на портале разработчика см. в статье "Как авторизовать учетные записи разработчика с помощью идентификатора Microsoft Entra в Azure Управление API".
Обычная проверка подлинности . Используйте встроенное имя пользователя и пароль портала разработчика. Этот параметр позволяет разработчикам регистрироваться непосредственно в службе "Управление API" и выполнять вход с помощью учетных записей пользователей управления API. Регистрация пользователей с помощью этого параметра защищена службой CAPTCHA.
Внимание
Хотя вы можете использовать базовую проверку подлинности для защиты доступа пользователей к порталу разработчика, рекомендуется настроить более безопасный метод проверки подлинности, например идентификатор Microsoft Entra.
Консоль тестирования портала разработчика
Помимо настройки регистрации и входа для пользователей разработчиков, на портале разработчика есть тестовая консоль, в которой разработчики могут отправлять тестовые запросы через службу Управление API на серверный API. Этот тестовый объект также существует для участвующих пользователей службы Управление API, которые управляют службой с помощью портала Azure.
Если вы защищаете API, предоставленный через службу "Управление API Azure" с помощью OAuth 2.0, то есть вызывающее приложение (носитель) должно получить и передать действительный токен доступа, вы можете настроить Управление API Azure для создания действительного токена от имени пользователя тестовой консоли Azure-портала или портала разработчика. Дополнительные сведения см. в статье "Авторизация тестовой консоли портала разработчика", настроив авторизацию пользователя OAuth 2.0.
Чтобы включить тестовую консоль для получения допустимого маркера OAuth 2.0 для тестирования API:
Добавьте в экземпляр сервер авторизации пользователей OAuth 2.0. Вы можете использовать любой поставщик OAuth 2.0, включая идентификатор Microsoft Entra, внешний идентификатор Microsoft Entra или сторонний поставщик удостоверений.
Настройте API с параметрами для этого сервера авторизации. На портале настройте авторизацию OAuth 2.0 на странице параметров API. Авторизация пользователя безопасности>.>
Эта конфигурация OAuth 2.0 для тестирования API не зависит от конфигурации, необходимой для доступа пользователей к порталу разработчика. Однако поставщик удостоверений и пользователь могут быть одинаковыми. Например, приложению интрасети может потребоваться доступ пользователя к порталу разработчика с помощью единого входа в систему с их корпоративной учетной записью. Это же корпоративное удостоверение может получить маркер через тестовую консоль для вызываемой серверной службы с тем же контекстом пользователя.
Сценарии
В разных сценариях применяются разные варианты проверки подлинности и авторизации. В следующих разделах рассматриваются высокоуровневые конфигурации для трех примеров сценариев. Вам необходимо выполнить дополнительные действия, чтобы полностью защитить и настроить API, предоставляемые с помощью управления API. Однако в данных сценариях намеренно описываются минимальные конфигурации, рекомендуемые в каждом случае, чтобы обеспечить необходимую проверку подлинности и авторизацию.
Сценарий 1. API интрасети и приложения
- Участник управления API и разработчик серверной части API хотят опубликовать API, защищенный OAuth 2.0.
- API используется десктопными приложениями, пользователи которых входят с помощью единой идентификации через идентификатор Microsoft Entra.
- Разработчики классических приложений должны обнаруживать и тестировать API с помощью портала разработчика управления API.
Основные параметры конфигурации:
| Настройка | Справочные материалы |
|---|---|
| Авторизовать разработчиков портала управления API, используя корпоративные удостоверения и Microsoft Entra ID. | Авторизация учетных записей разработчиков через Microsoft Entra ID в службе управления Azure API |
| Настройте тестовую консоль на портале разработчика, чтобы получить действительный токен OAuth 2.0 для разработчиков классических приложений и позволить им использовать серверный API. Ту же конфигурацию можно использовать для тестовой консоли на портале Azure, которая доступна для участников и разработчиков серверной части службы Управление API. Токен можно использовать в сочетании с ключом подписки для управления API. |
Авторизация тестовой консоли портала разработчика путем настройки авторизации пользователя с помощью OAuth 2.0 Подписки в службе управления API Azure |
| Проверьте токен OAuth 2.0 и утверждения при вызове API через службу Управление API с помощью маркера доступа. | Проверка политики JWT |
Выполните еще одну операцию в рамках данного сценария, переместив службу Управление API в периметр сети и контролируя входящий трафик через обратный прокси-сервер. Эталонную архитектуру см. в разделе Защита API с помощью Шлюза приложений и службы Управление API.
Сценарий 2. Внешний API, партнерское приложение
- Участник управления API и разработчик серверной части API хотят быстро создать прототип для предоставления устаревшего API через управление API Azure. API, управляемое через службу управления API, имеет внешний интернет-доступ.
- API использует проверку подлинности сертификата клиента и используется новым общедоступным одностраничным приложением (SPA), разработанным партнером за рубежом.
- Spa использует OAuth 2.0 с OpenID Connect (OIDC).
- Разработчики приложений получают доступ к API в тестовой среде через портал разработчика, используя тестовую конечную точку серверной части для ускорения разработки внешнего интерфейса.
Основные параметры конфигурации:
| Настройка | Справочные материалы |
|---|---|
| Настройте внешний доступ разработчика к порталу разработчика с помощью имени пользователя и пароля по умолчанию. Разработчики также могут быть приглашены на портал разработчиков. |
Настройка пользователей портала разработчика для проверки подлинности с использованием имен пользователей и паролей Управление учетными записями пользователей в службе управления API Azure |
| Проверьте токен OAuth 2.0 и утверждения, когда SPA вызывает Управление API с помощью маркера доступа. В этом случае аудитория — служба Управление API. | Проверка политики JWT |
| Настройте службу Управление API для использования проверки подлинности на основе сертификата клиента в серверной части. | Защита служб серверной части с помощью проверки подлинности сертификата клиента в Azure Управление API |
Для дальнейшего использования этого сценария используйте портал разработчика с авторизацией Microsoft Entra и совместной работой Microsoft Entra B2B , чтобы партнеры по доставке могли более тесно сотрудничать. Рассмотрите возможность делегирования доступа к управлению API через RBAC в среде разработки или тестирования и включите единый вход на портал разработчика с помощью собственных корпоративных учетных данных.
Сценарий 3. Внешний API, SaaS, открытый для общего доступа
Участник управления API и разработчик серверной части API записывают несколько новых API, которые разработчики сообщества могут использовать.
API являются общедоступными, но все функциональные возможности защищены за платной стеной и защищены с помощью OAuth 2.0. После приобретения лицензии разработчик получает собственные учетные данные клиента и ключ подписки, допустимый для использования в рабочей среде.
Внешние разработчики сообщества обнаруживают API с помощью портала разработчика. Разработчики регистрируются и входят на портал разработчиков через учетные записи социальных сетей.
Заинтересованные пользователи портала разработчиков с ключом тестовой подписки могут изучить функциональные возможности API в тестовом контексте без необходимости приобретать лицензию. Тестовая консоль портала разработчика представляет вызывающее приложение и создает маркер доступа по умолчанию для серверного API.
Внимание
При использовании потока учетных данных клиента с тестовой консолью портала разработчика необходимо проявлять повышенную осторожность. См. раздел Вопросы безопасности.
Основные параметры конфигурации:
| Настройка | Справочные материалы |
|---|---|
| Настройте продукты в службе "Управление API Azure" для представления сочетаний API, предоставляемых разработчикам сообщества. Настройте подписки, чтобы разработчики могли использовать интерфейсы API. |
Руководство по создавать и публиковать продукт; Подписки в службе управления API Azure |
| Настройте доступ разработчика сообщества к порталу разработчика с помощью внешнего идентификатора Microsoft Entra. Затем внешний идентификатор Microsoft Entra External ID можно настроить для работы с одним или несколькими смежными поставщиками социальных сетей. | Авторизация учетных записей разработчиков с помощью внешнего идентификатора Microsoft Entra в службе "Управление API Azure" |
| Настройте тестовую консоль на портале разработчика, чтобы получить действительный маркер OAuth 2.0 для серверного API с помощью потока учетных данных клиента. |
Авторизация тестовой консоли портала разработчика путем настройки авторизации пользователя с помощью OAuth 2.0 Настройте шаги конфигурации, описанные в этой статье, чтобы использовать поток предоставления учетных данных клиента вместо потока предоставления кода авторизации. |
Перейдите к следующему шагу, делегировав регистрацию пользователя или подписку на продукт и расширив процесс на основе собственной логики.
Связанный контент
- Узнайте подробнее о проверке подлинности и авторизации на платформе удостоверений Майкрософт.
- Узнайте, как устранять угрозы безопасности API OWASP с помощью управления API.