Microsoft Entra ID'yi kullanarak Azure API Management'ta geliştirici hesaplarını yetkilendirme

Bu makalede şunları yapmayı öğreneceksiniz:

• Microsoft Entra Id'den kullanıcılar için geliştirici portalına erişimi etkinleştirin.
• Kullanıcıları içeren dış gruplar ekleyerek Microsoft Entra kullanıcı gruplarını yönetin.

Geliştirici portalını güvenli hale getirme seçeneklerine genel bakış için API Management geliştirici portalına güvenli erişim makalesine bakın.

Önemli

• Bu makale, Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanarak bir Microsoft Entra uygulamasını yapılandırma adımlarıyla güncelleştirildi.
• Daha önce Azure AD Kimlik Doğrulama Kitaplığı'nı (ADAL) kullanarak kullanıcı oturum açma için bir Microsoft Entra uygulaması yapılandırdıysanız, MSAL'ye geçmenizi öneririz.

Önkoşullar

• Azure API Management örneği oluşturma hızlı başlangıcını tamamlayın.

• Azure API Management örneğinde bir API içeri aktarın ve yayımlayın .

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Standart | Premium

API Management örneğinize gidin

1. Azure portalında API Management hizmetlerini arayın ve seçin.

   

2. API Management hizmetleri sayfasında API Management örneğinizi seçin.

   

Microsoft Entra Id kullanarak kullanıcı oturum açmayı etkinleştirme - portal

Yapılandırmayı basitleştirmek için API Management, geliştirici portalı kullanıcıları için bir Microsoft Entra uygulaması ve kimlik sağlayıcısını otomatik olarak etkinleştirebilir. Alternatif olarak, Microsoft Entra uygulamasını ve kimlik sağlayıcısını el ile etkinleştirebilirsiniz.

Microsoft Entra uygulamasını ve kimlik sağlayıcısını otomatik olarak etkinleştirme

1. API Management örneğinizin sol menüsünde, Geliştirici portalı'nın altında Portala genel bakış'ı seçin.

2. Portala genel bakış sayfasında Microsoft Entra Id ile kullanıcı oturum açmayı etkinleştir seçeneğine gidin.

3. Microsoft Entra Kimliğini Etkinleştir'i seçin.

4. Microsoft Entra Id'yi Etkinleştir sayfasında Microsoft Entra Id'yi etkinleştir'i seçin.

5. Kapat'ı seçin.

   

Microsoft Entra sağlayıcısı etkinleştirildikten sonra:

• Belirtilen Microsoft Entra örneğindeki kullanıcılar, bir Microsoft Entra hesabı kullanarak geliştirici portalında oturum açabilir.
• Microsoft Entra yapılandırmasını portaldaki Geliştirici portalı>Kimlikleri sayfasından yönetebilirsiniz.
• İsteğe bağlı olarak Kimlikler> Ayarlar'i seçerek diğer oturum açma ayarlarını yapılandırın. Örneğin, anonim kullanıcıları oturum açma sayfasına yönlendirmek isteyebilirsiniz.
• Herhangi bir yapılandırma değişikliğinden sonra geliştirici portalını yeniden yayımlayın.

Microsoft Entra uygulamasını ve kimlik sağlayıcısını el ile etkinleştirme

1. API Management örneğinizin sol menüsünde, Geliştirici portalı altında Kimlikler'i seçin.

2. Sağ tarafta Kimlik sağlayıcısı ekle bölmesini açmak için üst kısımdan +Ekle'yi seçin.

3. Tür altında, açılan menüden Microsoft Entra Id'yi seçin. Seçildikten sonra diğer gerekli bilgileri girebilirsiniz.

   • İstemci kitaplığı açılan listesinde MSAL'yi seçin.
   • İstemci Kimliği ve gizli dizi eklemek için makalenin devamında yer alan adımlara bakın.

4. Daha sonrası için Yeniden Yönlendirme URL'sini kaydedin.

   

   Not

   İki yeniden yönlendirme URL’si mevcuttur:
   

   • URL noktalarını API Management'ın en son geliştirici portalına yönlendirin.
   • URL'yi yeniden yönlendirme (kullanım dışı portal), API Management'ın kullanım dışı bırakılan geliştirici portalına işaret etti.

   En son geliştirici portalı Yeniden Yönlendirme URL'sini kullanmanızı öneririz.

5. Tarayıcınızda Azure portalını yeni bir sekmede açın.

6. Bir uygulamayı Active Directory'ye kaydetmek için Uygulama kayıtları gidin.

7. Yeni kayıt öğesini seçin. Uygulama kaydetme sayfasında, değerleri aşağıdaki gibi ayarlayın:

   • Ad'ı developer-portal gibi anlamlı bir ad olarak ayarlayın
   • Desteklenen hesap türlerini herhangi bir kuruluş dizinindeki Hesaplar olarak ayarlayın.
   • Yeniden yönlendirme URI'sinde Tek sayfalı uygulama (SPA) öğesini seçin ve önceki bir adımda kaydettiğiniz yeniden yönlendirme URL'sini yapıştırın.
   • Kaydet'i seçin.

8. Uygulamayı kaydettikten sonra Genel Bakış sayfasından Uygulama (istemci) kimliğinikopyalayın.

9. API Management örneğinizle tarayıcı sekmesine geçin.

10. Kimlik sağlayıcısı ekle penceresinde, Uygulama (istemci) kimliği değerini İstemci Kimliği kutusuna yapıştırın.

11. Uygulama kaydı ile tarayıcı sekmesine geçin.

12. Uygun uygulama kaydını seçin.

13. Yan menünün Yönet bölümünde Sertifikalar ve gizli diziler'i seçin.

14. Sertifikalar ve gizli diziler sayfasında İstemci gizli dizileri altındaki Yeni istemci gizli dizisi düğmesini seçin.

    • Bir Açıklama girin.
    • Süresi Dolanlar için herhangi bir seçenek belirleyin.
    • Ekle'yi seçin.

15. Sayfadan çıkmadan önce istemci Gizli Anahtarı değerini kopyalayın. Buna daha sonra ihtiyacınız olacak.

16. Yan menüde Yönet'in altında Kimlik Doğrulaması'nı seçin.

    1. Örtük verme ve karma akışlar bölümünün altında Kimlik belirteçleri onay kutusunu seçin.
    2. Kaydet'i seçin.

17. Yan menüde Yönet'in altında Belirteç yapılandırması>+ İsteğe bağlı talep ekle'yi seçin.

    1. Belirteç türü'nde Kimlik'i seçin.
    2. Şu talepleri seçin (denetleyin): e-posta, family_name given_name.
    3. Ekle'yi seçin. İstenirse Microsoft Graph e-postası, profil iznini aç'ı seçin.

18. API Management örneğinizle tarayıcı sekmesine geçin.

19. Gizli diziyi, Kimlik sağlayıcısı ekle bölmesindeki İstemci gizli dizisi alanına yapıştırın.

    Önemli

    Anahtarın süresi dolmadan önce İstemci gizli dizisini güncelleştirin.

20. Kimlik sağlayıcısı ekle bölmesinin İzin verilen kiracılar alanında, API Management hizmet örneği API'lerine erişim vermek istediğiniz Microsoft Entra örneğinin etki alanlarını belirtin.

    • Birden çok etki alanını yeni satırlar, boşluklar veya virgüllerle ayırabilirsiniz.

    Not

    İzin Verilen Kiracılar bölümünde birden çok etki alanı belirtebilirsiniz. Genel yönetim, kullanıcıların özgün uygulama kayıt etki alanından farklı bir etki alanından oturum açabilmesi için önce uygulamaya dizin verilerine erişim izni vermelidir. İzin vermek için genel yönetici şunları yapmalıdır:

    1. adresine https://<URL of your developer portal>/aadadminconsent gidin (örneğin, https://contoso.portal.azure-api.net/aadadminconsent).
    2. Erişim vermek istedikleri Microsoft Entra kiracısının etki alanı adını girin.
    3. Gönder'i seçin.

21. İstediğiniz yapılandırmayı belirttikten sonra Ekle'yi seçin.

22. Microsoft Entra yapılandırmasının geçerli olması için geliştirici portalını yeniden yayımlayın. Soldaki menüde, Geliştirici portalı'nın altında Portala genel bakış>Yayımla'yı seçin.

Microsoft Entra sağlayıcısı etkinleştirildikten sonra:

• Belirtilen Microsoft Entra örneğindeki kullanıcılar, bir Microsoft Entra hesabı kullanarak geliştirici portalında oturum açabilir.
• Microsoft Entra yapılandırmasını portaldaki Geliştirici portalı>Kimlikleri sayfasından yönetebilirsiniz.
• İsteğe bağlı olarak Kimlikler> Ayarlar'i seçerek diğer oturum açma ayarlarını yapılandırın. Örneğin, anonim kullanıcıları oturum açma sayfasına yönlendirmek isteyebilirsiniz.
• Herhangi bir yapılandırma değişikliğinden sonra geliştirici portalını yeniden yayımlayın.

MSAL'ye geçiş

Daha önce ADAL kullanarak kullanıcı oturum açma için bir Microsoft Entra uygulaması yapılandırdıysanız, uygulamayı MSAL'ye geçirmek ve API Management'ta kimlik sağlayıcısını güncelleştirmek için portalı kullanabilirsiniz.

MSAL uyumluluğu için Microsoft Entra uygulamasını güncelleştirme

Adımlar için bkz . Yeniden yönlendirme URI'lerini tek sayfalı uygulama türüne değiştirme.

Kimlik sağlayıcısı yapılandırmasını güncelleştirme

1. API Management örneğinizin sol menüsünde, Geliştirici portalı altında Kimlikler'i seçin.
2. Listeden Microsoft Entra Id öğesini seçin.
3. İstemci kitaplığı açılan listesinde MSAL'yi seçin.
4. Güncelleştir'i seçin.
5. Geliştirici portalınızı yeniden yayımlayın.

Dış Microsoft Entra grubu ekleme

Artık Microsoft Entra kiracısında kullanıcılar için erişimi etkinleştirdiğinize göre şunları yapabilirsiniz:

• API Management'a Microsoft Entra grupları ekleyin.
• Microsoft Entra gruplarını kullanarak ürün görünürlüğünü denetleme.

1. Önceki bölümde kaydettiğiniz uygulamanın Uygulama Kaydı sayfasına gidin.
2. API İzinleri'ne tıklayın.
3. Microsoft Graph API için aşağıdaki en düşük uygulama izinlerini ekleyin:
   • User.Read.All uygulama izni – böylece API Management, kullanıcının oturum açtığı sırada grup eşitlemesi gerçekleştirmek için kullanıcının grup üyeliğini okuyabilir.
   • Group.Read.Alluygulama izni – böylece bir yönetici portaldaki Gruplar dikey penceresini kullanarak grubu API Management'a eklemeye çalıştığında API Management Microsoft Entra gruplarını okuyabilir.
4. Bu dizindeki tüm kullanıcılara erişim vermek için {tenantname} için yönetici onayı ver'i seçin.

Artık API Management örneğinizin Gruplar sekmesinden dış Microsoft Entra grupları ekleyebilirsiniz.

1. Yan menüdeki Geliştirici portalı'nın altında Gruplar'ı seçin.

2. Microsoft Entra grubu ekle düğmesini seçin.

   

3. Açılan listeden Kiracı'ya tıklayın.

4. Eklemek istediğiniz grubu arayın ve seçin.

5. Seç düğmesine basın.

Bir dış Microsoft Entra grubu ekledikten sonra özelliklerini gözden geçirebilir ve yapılandırabilirsiniz:

1. Gruplar sekmesinden grubun adını seçin.
2. Grubun Ad ve Açıklama bilgilerini düzenleyin.

Yapılandırılan Microsoft Entra örneğindeki kullanıcılar artık:

• Geliştirici portalında oturum açın.
• Görünürlükleri olan grupları görüntüleyin ve bunlara abone olun.

Not

Microsoft kimlik platformu makalesinde İzinler ve onay bölümünde Temsilci ve Uygulama izinleri türleri arasındaki fark hakkında daha fazla bilgi edinin.

Microsoft Entra gruplarını API Management ile eşitleme

Microsoft Entra'da yapılandırılan grupların örneğinize ekleyebilmeniz için API Management ile eşitlenmesi gerekir. Gruplar otomatik olarak eşitlenmezse, grup bilgilerini el ile eşitlemek için aşağıdakilerden birini yapın:

• Oturumu kapatın ve Microsoft Entra Id'de oturum açın. Bu etkinlik genellikle grupların eşitlenmesini tetikler.
• Microsoft Entra oturum açma kiracısının API Management'taki yapılandırma ayarlarınızda aynı şekilde (kiracı kimliği veya etki alanı adı kullanılarak) belirtildiğinden emin olun. Oturum açma kiracısını geliştirici portalı için Microsoft Entra Id kimlik sağlayıcısında ve API Management'a bir Microsoft Entra grubu eklediğinizde belirtirsiniz.

Geliştirici portalı: Microsoft Entra hesabı kimlik doğrulaması ekleme

Geliştirici portalında, Varsayılan geliştirici portalı içeriğinin oturum açma sayfasında bulunan Oturum aç düğmesi: OAuth pencere öğesini kullanarak Microsoft Entra ID ile oturum açabilirsiniz.

Yeni bir kullanıcı Microsoft Entra Id ile oturum açtığında otomatik olarak yeni bir hesap oluşturulsa da, kaydolma sayfasına aynı pencere öğesini eklemeyi göz önünde bulundurun. Kaydolma formu: OAuth pencere öğesi, OAuth ile kaydolmak için kullanılan bir formu temsil eder.

Önemli

Microsoft Entra Id değişikliklerinin geçerli olması için portalı yeniden yayımlamanız gerekir.

İlgili içerik

• Microsoft Entra Id ve OAuth2.0 hakkında daha fazla bilgi edinin.
• MSAL ve MSAL'ye geçiş hakkında daha fazla bilgi edinin.
• Sanal ağın içinden Microsoft Graph'a ağ bağlantısı sorunlarını giderme.