適用於:開發人員 |基本 v2 |標準 |標準 v2 |高級版 |進階版 v2
Microsoft Entra 外部識別碼 是雲端身分識別管理解決方案,可讓外部身分識別安全地存取您的應用程式和資源。 您可以使用它來管理外部身分識別對 API 管理 開發人員入口網站的存取。
在本文中,您將瞭解 Microsoft Entra ID 身分識別提供者的設定,以支援 API 管理開發人員入口網站中的下列案例:
- 與員工租用戶中的 Microsoft Entra 外部 ID 整合。 例如,如果您的員工租用戶適用於 Contoso 組織,您可能想要將 Google 或 Facebook 設定為外部識別提供者,讓這些外部使用者也可以使用其帳戶登入。
- 與單獨外部租用戶中的 Microsoft Entra 外部 ID 整合。 此設定只允許該租用戶的外部使用者登入開發人員入口網站。
備註
目前,您無法為開發人員入口網站設定多個 Microsoft Entra ID 身分識別提供者。
如需保護開發人員入口網站存取權的選項概觀,請參閱 保護 API 管理 開發人員入口網站的存取權。
備註
APIM 提供 Azure Active Directory B2C 作為外部識別提供者的舊版支援。 不過,建議您使用 Microsoft Entra 外部識別碼作為身分識別提供者,而不是 Azure Active Directory B2C,以進行 API 管理 開發人員入口網站的新部署。
這很重要
自 2025 年 5 月 1 日起,Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解。
先決條件
- 要啟用外部存取的 Microsoft Entra ID 租用戶 (員工租用戶),或單獨外部租用戶
- 在員工租用戶中建立應用程式和設定使用者流程的權限。
- APIM 執行個體。 如果您還沒有,請 建立 Azure API 管理 實例。
- 如果您在 v2 層中建立實例,請啟用開發者入口網站。 如需相關資訊,請參閱 教學課程:存取及自訂開發人員入口網站。
將外部身分識別提供者新增至您的租用戶
如果您使用員工租用戶,則必須在員工租用戶中啟用外部識別提供者。 設定外部身分識別提供者不在本文的範圍之內。 如需詳細資訊,請參閱員工租用戶中外部 ID 的識別提供者。
建立 Microsoft Entra 應用程式註冊
在您的 Microsoft Entra ID 租戶中建立應用程式註冊。 應用程式註冊代表 Microsoft Entra 中的開發人員入口網站應用程式,並可讓入口網站使用 Microsoft Entra ID 登入使用者。
- 在 Azure 入口網站中,移至 Microsoft Sentinel。
- 在側邊欄功能表的 [管理] 底下,選取 [應用程式註冊>+ 新增註冊]。
- 在 [註冊應用程式] 頁面中,輸入應用程式的註冊資訊。
- 在 [名稱 ] 區段中,輸入您選擇的應用程式名稱。
- 在 [ 支援的帳戶類型 ] 區段中,選取 [ 僅限此組織目錄中的帳戶]。
- 在 重新導向 URI 中,選取 [單頁應用程式 (SPA)] ,然後輸入下列 URL:
https://{your-api-management-service-name}.developer.azure-api.net/signin,其中{your-api-management-service-name}是 API 管理 執行個體的名稱。 - 選取 [註冊 ] 以建立應用程式。 1.在應用程式 概觀 頁面上,尋找 應用程式 (用戶端) ID 和 目錄 (租用戶) ID, 並將這些值複製到安全位置。 您稍後需要它們。
- 在側邊欄功能表的 [管理] 底下,選取 [憑證 & 密碼]。
- 從 [憑證 & 密碼 ] 頁面的 [用戶端密碼 ] 索引標籤上,選取 [+ 新增用戶端密碼]。
- 輸入 描述。
- 選取 到期日的任何選項。
- 選擇 並新增。
- 在離開頁面之前,將用戶端 密碼值 複製到安全位置。 您稍後將會用到此資訊。
- 在側邊欄功能表的 [管理] 底下,選取 [權杖設定>] + [新增選擇性宣告]。
- 在 [權杖類型] 中,選取 [ID]。
- 選取 (勾選) 下列宣告:email、family_name、given_name。
- 選取 ,然後新增。 如果出現提示,請選取 [開啟 Microsoft Graph 電子郵件、設定檔許可權]。
為您的租用戶啟用自助式註冊
若要讓外部使用者註冊以存取開發人員入口網站,您必須完成下列步驟:
- 為您的租戶啟用自助註冊。
- 將您的應用程式新增至自助式註冊使用者流程。
如需詳細資訊和詳細步驟,請參閱下列文章,視您使用的是員工還是外部租用戶而定:
- 員工租戶:增加自助式使用者註冊流程以支援 B2B 合作
- 外部租用戶: 為外部租用戶應用程式建立註冊和登入使用者流程 ,並將 應用程式新增至使用者流程
將 Microsoft Entra ID 設定為開發人員入口網站的身分識別提供者
在您的 API 管理 執行個體中,設定 Microsoft Entra ID 身分識別提供者。 您需要從上一節中的應用程式註冊複製的值。
在 [Azure 入口網站 ] 索引標籤中,流覽至您的 API 管理 執行個體。
在側邊欄功能表的 [開發人員入口網站] 底下,選取 [身分識別>+ 新增]。
在 [ 新增身分識別提供者 ] 頁面中,選取 [ Microsoft Entra ID]。 選擇後,您可以輸入其他必要資訊。
- 在 用戶端識別碼中,輸入應用程式註冊中的 應用程式 (用戶端) 識別碼 。
- 在 [用戶端密碼] 中,輸入應用程式註冊中的 [密碼] 值 。
- 在 [登入租用戶] 中,輸入應用程式註冊中的 目錄 (租用戶) 識別碼 。
- 在 [用戶端程式庫] 下拉式清單中,選取 [MSAL]。
選取 ,然後新增。
重新發佈開發人員入口網站,讓 Microsoft Entra 設定生效。 在側邊欄功能表的 開發人員入口網站 下,選取 入口網站概觀>發佈。
這很重要
當您建立或更新身分識別提供者的組態設定時,您需要 重新發佈開發人員入口網站 ,變更才會生效。
使用 Microsoft Entra 外部識別碼登入開發人員入口網站
在開發人員入口網站中,您可以透過 登入按鈕:OAuth 小工具使用 Microsoft Entra 外部識別碼進行登入。 小工具已包含在預設開發人員入口網站內容的登入頁面上。
若要使用 Microsoft Entra 外部識別碼登入,請開啟新的瀏覽器視窗,然後移至開發人員入口網站。 選取 [登入]。
在 [登入] 頁面上,選取 [Azure Active Directory]。
![在開發人員入口網站的 [登入] 頁面上選取 Azure Active Directory 的螢幕擷取畫面。](media/api-management-howto-external-id/developer-portal-sign-in.png)
在 Microsoft Entra 租使用者的登入視窗中,選取 [登入選項]。 選取您在 Microsoft Entra 租使用者中設定的身分識別提供者以登入。 舉例來說,如果您將 Google 設定為身分識別提供者,請選取 [使用 Google 登入]。
若要繼續登入,請回應提示。 登入完成後,系統會將您重新導向回開發人員入口網站。
您現在已登入 API 管理 服務實例的開發人員入口網站。 您會在 [使用者] 中新增為新的 APIM 使用者身分識別,並在 Microsoft Entra ID 中新增為新的外部租用戶使用者。