API Management geliştirici portalına güvenli erişim
ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Temel | Temel v2 | Standart | Standart v2 | Premium
API Management,tamamen özelleştirilebilir, tek başına yönetilen bir geliştirici portalına sahiptir. Bu portal, geliştirici kullanıcılarının API Management aracılığıyla yayımlanan API'leri keşfetmesine ve bunlarla etkileşim kurmasına olanak sağlamak için harici olarak (veya şirket içinde) kullanılabilir. Geliştirici portalında güvenli kullanıcı kaydolma ve oturum açma işlemlerini kolaylaştırmak için çeşitli seçenekler bulunur.
Not
Varsayılan olarak, geliştirici portalı anonim erişimi etkinleştirir. Bu, test konsolunu kullanma gibi işlevler kısıtlanmış olsa da herkesin oturum açmadan portalı ve API'ler gibi içeriği görüntüleyebileceği anlamına gelir. Kullanıcıların geliştirici portalını görüntülemek için oturum açmasını gerektiren bir ayarı etkinleştirebilirsiniz. Azure portalında, API Management örneğinizin sol menüsündeki Geliştirici portalı altında Kimlikler> Ayarlar'i seçin. Anonim kullanıcılar'ın altında (etkinleştir) Anonim kullanıcıları oturum açma sayfasına yönlendir'i seçin.
Kimlik doğrulaması seçenekleri
Dış kullanıcılar - Geliştirici portalı dışarıdan kullanıldığında tercih edilen seçenek, Azure Active Directory B2C (Azure AD B2C) aracılığıyla işletmeden tüketiciye erişim denetimini etkinleştirmektir.
- Azure AD B2C, Azure AD B2C yerel hesaplarını kullanma seçeneği sunar: kullanıcılar Azure AD B2C'ye kaydolup geliştirici portalına erişmek için bu kimliği kullanır.
- Kullanıcıların mevcut sosyal medya veya federasyon kuruluş hesaplarını kullanarak geliştirici portalına erişmesini istiyorsanız Azure AD B2C de yararlıdır.
- Azure AD B2C, koşullu erişim ve MFA dahil olmak üzere son kullanıcı kaydolma ve oturum açma deneyimini geliştirmek için birçok özellik sağlar.
Geliştirici portalında Azure AD B2C kimlik doğrulamasını etkinleştirme adımları için bkz . Azure API Management'ta Azure Active Directory B2C kullanarak geliştirici hesaplarını yetkilendirme.
İç kullanıcılar - Geliştirici portalı dahili olarak kullanıldığında tercih edilen seçenek, kurumsal Microsoft Entra kimliğinizi kullanmaktır. Microsoft Entra ID, geliştirici portalı üzerinden API'lere erişmesi ve api'leri bulması gereken kurumsal kullanıcılar için sorunsuz bir çoklu oturum açma (SSO) deneyimi sağlar.
Geliştirici portalında Microsoft Entra kimlik doğrulamasını etkinleştirme adımları için bkz . Azure API Management'ta Microsoft Entra Kimliğini kullanarak geliştirici hesaplarını yetkilendirme.
Temel kimlik doğrulaması - Varsayılan seçenek, geliştiricilerin API Management'a doğrudan kaydolmasını ve API Management kullanıcı hesaplarını kullanarak oturum açmasını sağlayan yerleşik geliştirici portalı kullanıcı adı ve parola sağlayıcısını kullanmaktır. Bu seçenek aracılığıyla kullanıcı kaydolma işlemi bir CAPTCHA hizmeti tarafından korunur.
Geliştirici portalı test konsolu
Geliştirici portalı, geliştirici kullanıcılarının erişime kaydolması ve oturum açması için yapılandırma sağlamaya ek olarak, geliştiricilerin arka uç API'lerine API Management aracılığıyla test istekleri gönderebileceği bir test konsolu içerir. Bu test tesisi, Azure portalını kullanarak hizmeti yöneten API Management kullanıcılarına katkıda bulunmak için de mevcuttur.
Azure API Management aracılığıyla kullanıma sunulan API'nin güvenliği OAuth 2.0 ile sağlanıyorsa, bir çağrı uygulamasının (taşıyıcı) geçerli bir erişim belirteci alması ve geçirmesi gerekir. API Management'ı, Azure portalı veya geliştirici portalı test konsolu kullanıcısı adına geçerli bir belirteç oluşturacak şekilde yapılandırabilirsiniz. Daha fazla bilgi için bkz . OAuth 2.0 kullanıcı yetkilendirmesini yapılandırarak geliştirici portalının test konsolunu yetkilendirme.
Test konsolunun API testi için geçerli bir OAuth 2.0 belirteci almasını sağlamak için:
Örneğinize bir OAuth 2.0 kullanıcı yetkilendirme sunucusu ekleyin. Microsoft Entra Id, Azure AD B2C veya üçüncü taraf kimlik sağlayıcısı dahil olmak üzere herhangi bir OAuth 2.0 sağlayıcısını kullanabilirsiniz.
Ardından API'yi bu yetkilendirme sunucusunun ayarlarıyla yapılandırın. Portalda, API'nin Ayarlar sayfasında >Güvenlik>Kullanıcısı yetkilendirmesi'nde OAuth 2.0 yetkilendirmesini yapılandırın.
API testi için bu OAuth 2.0 yapılandırması, geliştirici portalına kullanıcı erişimi için gereken yapılandırmadan bağımsızdır. Ancak kimlik sağlayıcısı ve kullanıcı aynı olabilir. Örneğin, bir intranet uygulaması, şirket kimliğiyle SSO kullanarak geliştirici portalına kullanıcı erişimi gerektirebilir. Aynı şirket kimliği, aynı kullanıcı bağlamıyla çağrılan arka uç hizmeti için test konsolu aracılığıyla bir belirteç alabilir.
Senaryolar
Farklı senaryolar için farklı kimlik doğrulama ve yetkilendirme seçenekleri geçerlidir. Aşağıdaki bölümlerde üç örnek senaryo için üst düzey yapılandırmalar incelanmıştır. API Management aracılığıyla kullanıma sunulan API'leri tam olarak güvenli hale getirmek ve yapılandırmak için daha fazla adım gereklidir. Ancak senaryolar, gerekli kimlik doğrulaması ve yetkilendirmeyi sağlamak için her durumda önerilen en düşük yapılandırmalara kasıtlı olarak odaklanır.
Senaryo 1 - İntranet API'si ve uygulamaları
- API Management katkıda bulunanı ve arka uç API geliştiricisi, OAuth 2.0 ile güvenliği sağlanan bir API yayımlamak istiyor.
- API, kullanıcıları Microsoft Entra Id aracılığıyla SSO kullanarak oturum açabilecek masaüstü uygulamaları tarafından kullanılır.
- Masaüstü uygulaması geliştiricilerinin API'leri API Management geliştirici portalı aracılığıyla bulması ve test etmeleri de gerekir.
Anahtar yapılandırmaları:
Yapılandırma | Başvuru |
---|---|
API Management geliştirici portalının geliştirici kullanıcılarını kurumsal kimliklerini ve Microsoft Entra Kimliğini kullanarak yetkilendirir. | Microsoft Entra ID'yi kullanarak Azure API Management'ta geliştirici hesaplarını yetkilendirme |
Masaüstü uygulaması geliştiricilerinin arka uç API'sini kullanmaları için geçerli bir OAuth 2.0 belirteci almak için geliştirici portalında test konsolunu ayarlayın. Api Management katkıda bulunanları ve arka uç geliştiricileri tarafından erişilebilen Azure portalında test konsolu için de aynı yapılandırma kullanılabilir. Belirteç bir API Management abonelik anahtarıyla birlikte kullanılabilir. |
OAuth 2.0 kullanıcı yetkilendirmesini yapılandırarak geliştirici portalının test konsolunu yetkilendirme Azure API Management'ta abonelikler |
Erişim belirteci ile API Management aracılığıyla bir API çağrıldığında OAuth 2.0 belirtecini ve taleplerini doğrulayın. | JWT ilkesini doğrulama |
API Management'ı ağ çevresine taşıyarak ve ters ara sunucu üzerinden girişi denetleyerek bu senaryoyla bir adım ileri gidin. Başvuru mimarisi için bkz . Application Gateway ve API Management ile API'leri koruma.
Senaryo 2 - Dış API, iş ortağı uygulaması
- API Management katkıda bulunanı ve arka uç API geliştiricisi, Azure API Management aracılığıyla eski bir API'yi kullanıma sunma amacıyla hızlı bir kavram kanıtı almak istiyor. API Management aracılığıyla API dışarıdan (İnternet) karşı karşıya olacaktır.
- API, istemci sertifikası kimlik doğrulamasını kullanır ve bir iş ortağı tarafından açık denizde geliştirilen yeni bir genel kullanıma yönelik tek sayfalı uygulama (SPA) tarafından kullanılacaktır.
- SPA, OpenID Bağlan (OIDC) ile OAuth 2.0 kullanır.
- Uygulama geliştiricileri, ön uç geliştirmeyi hızlandırmak için bir test arka uç uç noktası kullanarak geliştirici portalı aracılığıyla bir test ortamında API'ye erişecektir.
Anahtar yapılandırmaları:
Yapılandırma | Başvuru |
---|---|
Varsayılan kullanıcı adı ve parola kimlik doğrulamasını kullanarak geliştirici portalına ön uç geliştirici erişimini yapılandırın. Geliştiriciler geliştirici portalına da davet edilebilir. |
Kullanıcı adlarını ve parolaları kullanarak geliştirici portalı kullanıcılarını kimlik doğrulaması için yapılandırma Azure API Management'ta kullanıcı hesaplarını yönetme |
SPA, API Management'ı erişim belirteci ile çağırdığında OAuth 2.0 belirtecini ve taleplerini doğrulayın. Bu durumda, hedef kitle API Management'tır. | JWT ilkesini doğrulama |
API Management'ı arka uçta istemci sertifikası kimlik doğrulamasını kullanacak şekilde ayarlayın. | Azure API Management'ta istemci sertifikası kimlik doğrulaması kullanarak arka uç hizmetlerinin güvenliğini sağlama |
Geliştirici portalını Microsoft Entra yetkilendirmesi ve Microsoft Entra B2B işbirliği ile kullanarak bu senaryoyla bir adım ileri giderek teslim iş ortaklarının daha yakından işbirliği yapmasına olanak tanıyın. Geliştirme veya test ortamında RBAC aracılığıyla API Management'a erişim yetkisi vermeyi ve kendi kurumsal kimlik bilgilerini kullanarak geliştirici portalında SSO'yu etkinleştirmeyi göz önünde bulundurun.
Senaryo 3 - Genel kullanıma açık Dış API, SaaS
API Management katkıda bulunanı ve arka uç API geliştiricisi, topluluk geliştiricilerinin kullanımına sunulacak birkaç yeni API yazıyor.
API'ler, bir ödeme duvarının arkasında korunan ve OAuth 2.0 kullanılarak güvenliği sağlanan tüm işlevlerle genel kullanıma sunulacaktır. Lisans satın aldıktan sonra, geliştiriciye üretim kullanımı için geçerli olan kendi istemci kimlik bilgileri ve abonelik anahtarı sağlanır.
Dış topluluk geliştiricileri, geliştirici portalını kullanarak API'leri keşfeder. Geliştiriciler, sosyal medya hesaplarını kullanarak geliştirici portalına kaydolacak ve oturum açacaktır.
Test abonelik anahtarına sahip ilgili geliştirici portalı kullanıcıları, lisans satın almak zorunda kalmadan API işlevselliğini test bağlamında inceleyebilir. Geliştirici portalı test konsolu, çağıran uygulamayı temsil eder ve arka uç API'sine varsayılan erişim belirteci oluşturur.
Dikkat
Geliştirici portalı test konsoluyla bir istemci kimlik bilgileri akışı kullanılırken ek bakım gerekir. Güvenlikle ilgili dikkat edilmesi gereken noktalara bakın.
Anahtar yapılandırmaları:
Yapılandırma | Başvuru |
---|---|
Azure API Management'ta, topluluk geliştiricilerine sunulan API'lerin birleşimlerini temsil eden ürünler ayarlayın. Geliştiricilerin API'leri kullanmasına olanak tanımak için abonelikleri ayarlayın. |
Öğretici: Ürün oluşturma ve yayımlama Azure API Management'ta abonelikler |
Azure AD B2C kullanarak geliştirici portalına topluluk geliştirici erişimini yapılandırın. Azure AD B2C daha sonra bir veya daha fazla aşağı akış sosyal medya kimlik sağlayıcısıyla çalışacak şekilde yapılandırılabilir. | Azure Active Directory B2C'yi kullanarak Azure API Management'ta geliştirici hesaplarını yetkilendirme |
İstemci kimlik bilgileri akışını kullanarak arka uç API'sine geçerli bir OAuth 2.0 belirteci almak için geliştirici portalında test konsolunu ayarlayın. | OAuth 2.0 kullanıcı yetkilendirmesini yapılandırarak geliştirici portalının test konsolunu yetkilendirme Yetkilendirme kodu verme akışı yerine istemci kimlik bilgileri verme akışını kullanmak için bu makalede gösterilen yapılandırma adımlarını ayarlayın. |
Kullanıcı kaydı veya ürün aboneliğini temsilci olarak seçerek bir adım ileri gidin ve işlemi kendi mantığınızla genişletin.