Ontwikkelaarsaccounts autoriseren met behulp van Microsoft Entra ID in Azure API Management

In dit artikel leert u het volgende:

• Toegang tot de ontwikkelaarsportal inschakelen voor gebruikers van Microsoft Entra ID.
• Beheer groepen Microsoft Entra-gebruikers door externe groepen toe te voegen die de gebruikers bevatten.

Zie Beveiligde toegang tot de API Management-ontwikkelaarsportal voor een overzicht van de opties voor het beveiligen van de ontwikkelaarsportal.

Belangrijk

• Dit artikel is bijgewerkt met stappen voor het configureren van een Microsoft Entra-app met behulp van de Microsoft Authentication Library (MSAL).
• Als u eerder een Microsoft Entra-app hebt geconfigureerd voor gebruikersaanmelding met behulp van de Azure AD Authentication Library (ADAL), raden we u aan om te migreren naar MSAL.

Vereisten

• Voltooi de quickstart een Azure API Management-exemplaar maken.

• Importeer en publiceer een API in het Azure API Management-exemplaar.

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

VAN TOEPASSING OP: Ontwikkelaar | Standaard | Premium

Ga naar uw API Management-exemplaar

1. Zoek en selecteer API Management-services in Azure Portal.

   

2. Selecteer uw API Management-exemplaar op de pagina API Management-services.

   

Gebruikersaanmelding inschakelen met behulp van Microsoft Entra ID - portal

Om de configuratie te vereenvoudigen, kan API Management automatisch een Microsoft Entra-toepassing en id-provider inschakelen voor gebruikers van de ontwikkelaarsportal. U kunt de Microsoft Entra-toepassing en id-provider ook handmatig inschakelen.

Microsoft Entra-toepassing en id-provider automatisch inschakelen

1. Selecteer in het linkermenu van uw API Management-exemplaar onder De ontwikkelaarsportal het portaloverzicht.

2. Schuif op de overzichtspagina van de portal omlaag naar Gebruikersaanmelding inschakelen met Microsoft Entra-id.

3. Selecteer Microsoft Entra-id inschakelen.

4. Selecteer Op de pagina Microsoft Entra-id inschakelen de optie Microsoft Entra-id inschakelen.

5. Selecteer Sluiten.

   

Nadat de Microsoft Entra-provider is ingeschakeld:

• Gebruikers in het opgegeven Microsoft Entra-exemplaar kunnen zich aanmelden bij de ontwikkelaarsportal met behulp van een Microsoft Entra-account.
• U kunt de Configuratie van Microsoft Entra beheren op de pagina Identiteiten van de ontwikkelaarsportal>in de portal.
• U kunt eventueel andere aanmeldingsinstellingen configureren door Identiteiten> te selecteren Instellingen. U kunt bijvoorbeeld anonieme gebruikers omleiden naar de aanmeldingspagina.
• Publiceer de ontwikkelaarsportal opnieuw na een configuratiewijziging.

Microsoft Entra-toepassing en id-provider handmatig inschakelen

1. Selecteer Identiteiten in het linkermenu van uw API Management-exemplaar onder de ontwikkelaarsportal.

2. Selecteer +Toevoegen bovenaan om het deelvenster Id-provider toevoegen aan de rechterkant te openen.

3. Selecteer onder Type de Microsoft Entra-id in de vervolgkeuzelijst. Zodra deze optie is geselecteerd, kunt u andere benodigde gegevens invoeren.

   • Selecteer MSAL in de vervolgkeuzelijst Clientbibliotheek.
   • Als u client-id en clientgeheim wilt toevoegen, raadpleegt u de stappen verderop in het artikel.

4. Sla de omleidings-URL op voor later gebruik.

   

   Notitie

   Er zijn twee omleidings-URL's:
   

   • Omleidings-URL verwijst naar de meest recente ontwikkelaarsportal van API Management.
   • Omleidings-URL (afgeschafte portal) verwijst naar de afgeschafte ontwikkelaarsportal van API Management.

   We raden u aan de meest recente omleidings-URL voor de ontwikkelaarsportal te gebruiken.

5. Open Azure Portal in uw browser op een nieuw tabblad.

6. Navigeer naar App-registraties om een app te registreren in Active Directory.

7. Selecteer Nieuwe registratie. Stel op de pagina Een toepassing registreren de waarden als volgt in:

   • Naam instellen op een beschrijvende naam, zoals developer-portal
   • Stel ondersteunde accounttypen in op Accounts in elke organisatiemap.
   • Selecteer in omleidings-URI de optie Toepassing met één pagina (SPA) en plak de omleidings-URL die u in een vorige stap hebt opgeslagen.
   • Selecteer Registreren.

8. Nadat u de toepassing hebt geregistreerd, kopieert u de toepassings-id (client) op de pagina Overzicht .

9. Ga naar het browsertabblad met uw API Management-exemplaar.

10. Plak in het venster Id-provider toevoegen de waarde van de toepassings-id (client) in het vak Client-id .

11. Ga naar het browsertabblad met de app-registratie.

12. Selecteer de juiste app-registratie.

13. Selecteer Onder de sectie Beheren van het zijmenu certificaten en geheimen.

14. Selecteer op de pagina Certificaten en geheimen de knop Nieuw clientgeheim onder Clientgeheimen.

    • Voer een beschrijving in.
    • Selecteer een optie voor Verlopen.
    • Kies Toevoegen.

15. Kopieer de waarde van het clientgeheim voordat u de pagina verlaat. U hebt dit later nodig.

16. Selecteer Verificatie onder Beheren in het zijmenu.

    1. Schakel onder de sectie Impliciete toekenning en hybride stromen het selectievakje ID-tokens in.
    2. Selecteer Opslaan.

17. Selecteer onder Beheren in het zijmenu tokenconfiguratie>+ Optionele claim toevoegen.

    1. Selecteer id in tokentype.
    2. Selecteer (controleer) de volgende claims: e-mail, family_name, given_name.
    3. Selecteer Toevoegen. Als u hierom wordt gevraagd, selecteert u Microsoft Graph-e-mail, profielmachtiging inschakelen.

18. Ga naar het browsertabblad met uw API Management-exemplaar.

19. Plak het geheim in het veld Clientgeheim in het deelvenster Id-provider toevoegen.

    Belangrijk

    Werk het clientgeheim bij voordat de sleutel verloopt.

20. Geef in het deelvenster Toegestane tenants van het deelvenster Toegestane tenants de domeinen van het Microsoft Entra-exemplaar op waaraan u toegang wilt verlenen tot de API's van het API Management-service-exemplaar.

    • U kunt meerdere domeinen scheiden met nieuwe regels, spaties of komma's.

    Notitie

    U kunt meerdere domeinen opgeven in de sectie Toegestane tenants . Een globaal beheer moet de toepassing toegang verlenen tot directorygegevens voordat gebruikers zich kunnen aanmelden vanuit een ander domein dan het oorspronkelijke domein voor app-registratie. Als u machtigingen wilt verlenen, moet de globale beheerder het volgende doen:

    1. Ga naar https://<URL of your developer portal>/aadadminconsent (bijvoorbeeld https://contoso.portal.azure-api.net/aadadminconsent).
    2. Voer de domeinnaam in van de Microsoft Entra-tenant waaraan ze toegang willen verlenen.
    3. Selecteer Indienen.

21. Nadat u de gewenste configuratie hebt opgegeven, selecteert u Toevoegen.

22. Publiceer de ontwikkelaarsportal voor de Configuratie van Microsoft Entra opnieuw om van kracht te worden. Selecteer in het linkermenu, onder Ontwikkelaarsportal, portaloverzicht>Publiceren.

Nadat de Microsoft Entra-provider is ingeschakeld:

• Gebruikers in het opgegeven Microsoft Entra-exemplaar kunnen zich aanmelden bij de ontwikkelaarsportal met behulp van een Microsoft Entra-account.
• U kunt de Configuratie van Microsoft Entra beheren op de pagina Identiteiten van de ontwikkelaarsportal>in de portal.
• U kunt eventueel andere aanmeldingsinstellingen configureren door Identiteiten> te selecteren Instellingen. U kunt bijvoorbeeld anonieme gebruikers omleiden naar de aanmeldingspagina.
• Publiceer de ontwikkelaarsportal opnieuw na een configuratiewijziging.

Migreren naar MSAL

Als u eerder een Microsoft Entra-app hebt geconfigureerd voor gebruikersaanmelding met behulp van de ADAL, kunt u de portal gebruiken om de app te migreren naar MSAL en de id-provider bij te werken in API Management.

Microsoft Entra-app bijwerken voor MSAL-compatibiliteit

Zie Omleidings-URI's overschakelen naar het toepassingstype met één pagina voor stappen.

Configuratie van id-provider bijwerken

1. Selecteer Identiteiten in het linkermenu van uw API Management-exemplaar onder de ontwikkelaarsportal.
2. Selecteer Microsoft Entra-id in de lijst.
3. Selecteer MSAL in de vervolgkeuzelijst Clientbibliotheek.
4. Selecteer Bijwerken.
5. Publiceer de ontwikkelaarsportal opnieuw.

Een externe Microsoft Entra-groep toevoegen

Nu u toegang hebt ingeschakeld voor gebruikers in een Microsoft Entra-tenant, kunt u het volgende doen:

• Voeg Microsoft Entra-groepen toe aan API Management.
• De zichtbaarheid van producten beheren met Behulp van Microsoft Entra-groepen.

1. Navigeer naar de pagina App-registratie voor de toepassing die u in de vorige sectie hebt geregistreerd.
2. Selecteer API-machtigingen.
3. Voeg de volgende minimale toepassingsmachtigingen toe voor Microsoft Graph API:
   • User.Read.All toepassingsmachtiging: API Management kan het groepslidmaatschap van de gebruiker lezen om groepssynchronisatie uit te voeren op het moment dat de gebruiker zich aanmeldt.
   • Group.Read.All toepassingsmachtiging: API Management kan de Microsoft Entra-groepen lezen wanneer een beheerder de groep probeert toe te voegen aan API Management met behulp van de blade Groepen in de portal.
4. Selecteer Beheerderstoestemming verlenen voor {tenantname} zodat u toegang verleent voor alle gebruikers in deze map.

U kunt nu externe Microsoft Entra-groepen toevoegen vanaf het tabblad Groepen van uw API Management-exemplaar.

1. Selecteer Groepen onder De ontwikkelaarsportal in het zijmenu.

2. Selecteer de knop Microsoft Entra-groep toevoegen.

   

3. Selecteer de tenant in de vervolgkeuzelijst.

4. Zoek en selecteer de groep die u wilt toevoegen.

5. Selecteer de knop Selecteren.

Nadat u een externe Microsoft Entra-groep hebt toegevoegd, kunt u de eigenschappen ervan controleren en configureren:

1. Selecteer de naam van de groep op het tabblad Groepen .
2. Bewerk naam - en beschrijvingsgegevens voor de groep.

Gebruikers van het geconfigureerde Microsoft Entra-exemplaar kunnen nu:

• Meld u aan bij de ontwikkelaarsportal.
• Bekijk en abonneer u op groepen waarvoor ze zichtbaarheid hebben.

Notitie

Meer informatie over het verschil tussen gedelegeerde machtigingen en toepassingsmachtigingen in machtigingen en toestemming in het microsoft identity platform-artikel .

Microsoft Entra-groepen synchroniseren met API Management

Groepen die zijn geconfigureerd in Microsoft Entra, moeten worden gesynchroniseerd met API Management, zodat u ze aan uw exemplaar kunt toevoegen. Als de groepen niet automatisch worden gesynchroniseerd, voert u een van de volgende handelingen uit om groepsgegevens handmatig te synchroniseren:

• Meld u af en meld u aan bij Microsoft Entra-id. Deze activiteit activeert meestal synchronisatie van groepen.
• Zorg ervoor dat de Microsoft Entra-aanmeldingstenant op dezelfde manier is opgegeven (met behulp van een tenant-id of domeinnaam) in uw configuratie-instellingen in API Management. U geeft de aanmeldingstenant op in de id-provider van Microsoft Entra ID voor de ontwikkelaarsportal en wanneer u een Microsoft Entra-groep toevoegt aan API Management.

Ontwikkelaarsportal: Verificatie van Microsoft Entra-accounts toevoegen

In de ontwikkelaarsportal kunt u zich aanmelden met Microsoft Entra ID met behulp van de knop Aanmelden: OAuth-widget die is opgenomen op de aanmeldingspagina van de standaardinhoud van de ontwikkelaarsportal.

Hoewel er automatisch een nieuw account wordt gemaakt wanneer een nieuwe gebruiker zich aanmeldt met Microsoft Entra ID, kunt u overwegen om dezelfde widget toe te voegen aan de registratiepagina. Het aanmeldingsformulier: OAuth-widget vertegenwoordigt een formulier dat wordt gebruikt voor registratie met OAuth.

Belangrijk

U moet de portal opnieuw publiceren om de wijzigingen in de Microsoft Entra-id van kracht te laten worden.

Gerelateerde inhoud

• Meer informatie over Microsoft Entra ID en OAuth2.0.
• Meer informatie over MSAL en migreren naar MSAL.
• Problemen met netwerkconnectiviteit met Microsoft Graph oplossen vanuit een VNet.