Autorisieren von Entwicklerkonten mithilfe von Azure Active Directory in Azure API Management

In diesem Artikel lernen Sie Folgendes:

  • Aktivieren des Zugriffs auf das Entwicklerportal für Benutzer aus Azure Active Directory (Azure AD)
  • Verwalten von Azure AD-Benutzergruppen durch Hinzufügen externer Gruppen, die die Benutzer enthalten

Voraussetzungen

  • Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Azure Cloud Shell-Schnellstart: Bash.

    Launch Cloud Shell in a new window

  • Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie unter Windows oder macOS arbeiten, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

    • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Weitere Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

    • Installieren Sie die Azure CLI-Erweiterungen bei der ersten Verwendung, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

    • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

Verfügbarkeit

Wichtig

Diese Funktion ist auf den Ebenen Premium, Standard und Entwickler von API Management verfügbar.

Autorisieren von Entwicklerkonten mithilfe von Azure AD

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Arrow icon. aus.

  3. Suchen Sie die API Management-Dienste, und wählen Sie sie aus.

  4. Wählen Sie Ihre API Management-Dienstinstanz aus.

  5. Wählen Sie unter Entwicklerportal die Option Identitäten aus.

  6. Wählen Sie oben +Hinzufügen aus, um den Bereich Identitätsanbieter hinzufügen auf der rechten Seite zu öffnen.

  7. Wählen Sie im Dropdownmenü unter Typ Ihre neue Azure Active Directory-Instanz aus.

    • Nach der Auswahl können Sie weitere erforderliche Informationen eingeben.
    • Zu den Informationen gehören die Client-ID und der geheime Clientschlüssel.
    • Informationen zu diesen Steuerelementen finden Sie weiter unten in diesem Artikel.
  8. Speichern Sie die Umleitungs-URL, da Sie sie später benötigen.

    Add identity provider in Azure portal

    Hinweis

    Es gibt zwei Umleitungs-URLs:

    • Die Umleitungs-URL verweist auf das neueste Entwicklerportal von API Management.
    • Die Umleitungs-URL (veraltetes Portal) verweist auf das als veraltet markierte Entwicklerportal von API Management.

    Es empfiehlt sich, die Umleitungs-URL zum neuesten Entwicklerportal zu verwenden.

  9. Öffnen Sie das Azure-Portal in Ihrem Browser auf einer neuen Registerkarte.

  10. Navigieren Sie zu App-Registrierungen, um eine App in Active Directory zu registrieren.

  11. Wählen Sie Neue Registrierung aus. Legen Sie auf der Seite Anwendung registrieren folgende Werte fest:

    • Legen Sie für Name einen aussagekräftigen Namen fest, z. B. Entwicklerportal.
    • Legen Sie Unterstützte Kontotypen auf Nur Konten in diesem Organisationsverzeichnis fest.
    • Legen Sie den Umleitungs-URI auf den Wert fest, den Sie in Schritt 9 gespeichert haben.
    • Wählen Sie Registrieren.
  12. Kopieren Sie nach der Registrierung der Anwendung die Anwendungs-ID (Client) von der Seite Übersicht.

  13. Wechseln Sie zur Browserregisterkarte mit Ihrer API Management-Instanz.

  14. Fügen Sie den Wert Anwendungs-ID (Client) im Fenster Identitätsanbieter hinzufügen in das Feld Client-ID ein.

  15. Wechseln Sie zur Browserregisterkarte mit der App-Registrierung.

  16. Wählen Sie die entsprechende App-Registrierung aus.

  17. Wählen Sie im Abschnitt Verwalten des Seitenmenüs Zertifikate & Geheimnisse aus.

  18. Wählen Sie auf der Seite Zertifikate & Geheimnisse unter Geheime Clientschlüssel die Schaltfläche Neuer geheimer Clientschlüssel aus.

    • Geben Sie eine Beschreibung ein.
    • Wählen Sie eine beliebige Option für Gültig bis aus.
    • Wählen Sie Hinzufügen aus.
  19. Kopieren Sie den Client Geheimniswert, bevor Sie die Seite verlassen. Sie benötigen sie später.

  20. Wählen Sie im Seitenmenü unter Verwalten die Option Authentifizierung aus.

  21. Aktivieren Sie in den Abschnitten Implizite Genehmigung und Hybridflows das Kontrollkästchen ID-Token.

  22. Wechseln Sie zur Browserregisterkarte mit Ihrer API Management-Instanz.

  23. Fügen Sie das Geheimnis im Bereich Identitätsanbieter hinzufügen in das Feld Geheimer Clientschlüssel ein.

    Wichtig

    Aktualisieren Sie den geheimen Clientschlüssel, bevor er abläuft.

  24. Geben Sie im Bereich Identitätsanbieter hinzufügen im Feld Zulässige Mandanten die Domänen der Azure AD-Instanzen an, denen Sie Zugriff auf die APIs der API Management-Dienstinstanz gewähren möchten.

    • Sie können mehrere Domänen durch neue Zeilen, Leerzeichen oder Kommas trennen.

    Hinweis

    Sie können im Abschnitt Zulässige Mandanten mehrere Domänen angeben. Ein globaler Administrator muss der Anwendung Zugriff auf Verzeichnisdaten gewähren, bevor Benutzer sich aus einer anderen Domäne als der ursprünglichen App-Registrierungsdomäne anmelden können. Um Berechtigungen zu erteilen, müssen Sie als globaler Administrator folgendermaßen vorgehen:

    1. Wechseln Sie zu https://<URL of your developer portal>/aadadminconsent (z. B. https://contoso.portal.azure-api.net/aadadminconsent).
    2. Geben Sie den Domänennamen des Azure AD-Mandanten ein, auf den Zugriff gewährt werden soll.
    3. Klicken Sie auf Submit (Senden).
  25. Nachdem Sie die gewünschte Konfiguration angegeben haben, wählen Sie Hinzufügen aus.

Nach dem Speichern der Änderungen können sich Benutzer in der angegebenen Azure AD-Instanz mit einem Azure AD-Konto beim Entwicklerportal anmelden.

Hinzufügen einer externen Azure AD-Gruppe

Nachdem Sie den Zugriff für Benutzer in einem Azure AD-Mandanten aktiviert haben, können Sie folgende Aktionen ausführen:

  • Hinzufügen von Azure AD-Gruppen zu API Management
  • Steuern der Sichtbarkeit von Produkten mit Azure AD-Gruppen

Befolgen Sie diese Schritte zur Erteilung:

  • Directory.Read.AllAnwendungsberechtigung für die Microsoft Graph-API.
  • User.ReadDelegierte Berechtigung für die Microsoft Graph-API.
  1. Passen Sie die ersten 3 Zeilen des folgenden Azure CLI-Skripts an Ihre Umgebung an und führen Sie es aus.

    $subId = "Your Azure subscription ID" #e.g. "1fb8fadf-03a3-4253-8993-65391f432d3a"
    $tenantId = "Your Azure AD Tenant or Organization ID" #e.g. 0e054eb4-e5d0-43b8-ba1e-d7b5156f6da8"
    $appObjectID = "Application Object ID that has been registered in AAD" #e.g. "2215b54a-df84-453f-b4db-ae079c0d2619"
    #Login and Set the Subscription
    az login
    az account set --subscription $subId
    #Assign the following permissions: Microsoft Graph Delegated Permission: User.Read, Microsoft Graph Application Permission: Directory.ReadAll
    az rest --method PATCH --uri "https://graph.microsoft.com/v1.0/$($tenantId)/applications/$($appObjectID)" --body "{'requiredResourceAccess':[{'resourceAccess': [{'id': 'e1fe6dd8-ba31-4d61-89e7-88639da4683d','type': 'Scope'},{'id': '7ab1d382-f21e-4acd-a863-ba3e13f7da61','type': 'Role'}],'resourceAppId': '00000003-0000-0000-c000-000000000000'}]}"
    
  2. Melden Sie sich ab und melden Sie sich wieder am Azure-Portal an.

  3. Navigieren Sie zur Seite App-Registrierung für die Anwendung, die Sie im vorherigen Abschnitt registriert haben.

  4. Klicken Sie auf API-Berechtigungen. Sie sollten die vom Azure CLI-Skript in Schritt 1 gewährten Berechtigungen sehen.

  5. Wählen Sie Administratoeinwilligung für {tenantname} erteilen aus, damit Sie allen Benutzern in diesem Verzeichnis den Zugriff gewähren.

Jetzt können Sie externe Azure AD-Gruppen über die Registerkarte Gruppen Ihrer API Management-Instanz hinzufügen.

  1. Wählen Sie im Seitenmenü unter Entwicklerportal die Option Gruppen aus.

  2. Wählen Sie die Schaltfläche Azure AD-Gruppe hinzufügen aus.

  3. Wählen Sie in der Dropdownliste den Mandanten aus.

  4. Suchen Sie nach der Gruppe, die Sie hinzufügen möchten, und wählen Sie sie aus.

  5. Klicken Sie auf die Schaltfläche Auswählen.

Nachdem Sie eine externe Azure AD-Gruppe hinzugefügt haben, können Sie ihre Eigenschaften überprüfen und konfigurieren:

  1. Wählen Sie den Namen der Gruppe auf der Registerkarte Gruppen aus.
  2. Bearbeiten Sie den Namen und die Beschreibung für die Gruppe.

Benutzer aus der konfigurierten Azure AD-Instanz können jetzt folgende Aktionen ausführen:

  • Sie können sich beim Entwicklerportal anmelden.
  • Sie können beliebige Gruppen anzeigen und abonnieren, die für sie sichtbar sind.

Hinweis

Weitere Informationen zum Unterschied zwischen den Berechtigungstypen Delegiert und Anwendung finden Sie im Artikel Berechtigungen und Zustimmung im Microsoft Identity Platform-Endpunkt.

Entwicklerportal: Hinzufügen der Azure AD-Kontoauthentifizierung

Im Entwicklerportal können Sie sich mit Azure AD anmelden, indem Sie das Widget Anmeldeschaltfläche: OAuth verwenden, das sich auf der Anmeldeseite des standardmäßigen Entwicklerportals befindet.

Es wird zwar automatisch ein neues Konto erstellt, wenn sich ein neuer Benutzer mit Azure AD anmeldet, aber Sie können trotzdem erwägen, dieses Widget auch auf der Registrierungsseite hinzuzufügen. Das Widget Registrierungsformular: OAuth stellt ein Formular dar, das zum Registrieren bei OAuth verwendet wird.

Wichtig

Sie müssen das Portal erneut veröffentlichen, damit die Azure AD-Änderungen wirksam werden.

Als veraltet markiertes Entwicklerportal: Anmelden mit Azure AD

Hinweis

In dieser Dokumentation geht es um das veraltete Entwicklerportal. Sie können das Portal bis zu seiner Einstellung im Oktober 2023 wie gewohnt weiter nutzen. In dem Monat wird es dann aus allen API Management-Diensten entfernt. Für das veraltete Portal werden nur kritische Sicherheitsupdates bereitgestellt. Weitere Informationen finden Sie in den folgenden Artikeln:

So melden Sie sich mit einem in den vorherigen Abschnitten konfigurierten Azure AD-Konto beim Entwicklerportal an:

  1. Öffnen Sie ein neues Browserfenster, und geben Sie die Anmelde-URL aus der Active Directory-Anwendungskonfiguration ein.

  2. Wählen Sie Azure Active Directory aus.

    Sign-in page

  3. Geben Sie die Anmeldeinformationen eines Benutzers in Azure AD ein.

  4. Wählen Sie Anmelden.

    Signing in with username and password

  5. Wenn Sie zur Eingabe eines Registrierungsformulars aufgefordert werden, geben Sie alle erforderlichen zusätzlichen Informationen an.

  6. Wählen Sie Registrieren aus.

Sie sind jetzt beim Entwicklerportal für Ihre API Management-Dienstinstanz angemeldet.

Developer portal after registration is complete

Nächste Schritte