Autorización de las cuentas de desarrollador mediante Azure Active Directory en Azure API Management

En este artículo, aprenderá a:

• Habilite el acceso al portal para desarrolladores para usuarios de Azure Active Directory (Azure AD).
• Administre grupos de usuarios de Azure AD agregando grupos externos que contengan a dichos usuarios.

Prerrequisitos

• Complete el inicio rápido Creación de una instancia de Azure API Management.

• Importe y publique una API en la instancia de API Management de Azure.

• Use el entorno de Bash en Azure Cloud Shell. Para más información, vea Inicio rápido de Azure Cloud Shell: Bash.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

Disponibilidad

Importante

Esta característica está disponible en los niveles Premium, Estándar y Desarrollador de API Management.

Vaya a la instancia de API Management.

1. En Azure Portal, busque y seleccione Servicios de API Management.

   

2. En la página de servicios API Management, seleccione la instancia de API Management.

   

Habilitación del inicio de sesión de usuario mediante Azure AD: portal

Para simplificar la configuración, API Management puede habilitar automáticamente una aplicación y un proveedor de identidades de Azure AD para los usuarios del portal para desarrolladores. Como alternativa, puede habilitar manualmente la aplicación y el proveedor de identidades de Azure AD.

Habilitación automática de la aplicación y el proveedor de identidades de Azure AD

1. En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Información general del portal.

2. En la página Información general del portal, desplácese hacia abajo hasta Habilitar el inicio de sesión de usuario con Azure Active Directory.

3. Seleccione Habilitar Azure AD.

4. En la página Habilitar Azure AD, seleccione Habilitar Azure AD.

5. Seleccione Cerrar.

   

Una vez habilitado el proveedor de Azure AD:

• Los usuarios de la instancia de Azure AD especificada pueden iniciar sesión en el portal para desarrolladores mediante una cuenta de Azure AD.
• Puede administrar la configuración de Azure AD en la página Portal para desarrolladores>Identidades, en el portal.
• Opcionalmente, configure otras opciones de inicio de sesión seleccionando Identidades>Configuración. Por ejemplo, puede que desee redirigir a los usuarios anónimos a la página de inicio de sesión.
• Vuelva a publicar el portal para desarrolladores después de cualquier cambio de configuración.

Habilitación manual de la aplicación y el proveedor de identidades de Azure AD

1. En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Identidades.

2. Seleccione +Agregar en la parte superior para abrir el panel Agregar proveedor de identidades a la derecha.

3. En Tipo, seleccione Azure Active Directory en el menú desplegable.

   • Una vez seleccionado, podrá especificar otra información necesaria,
   • como Id. de cliente y Secreto de cliente.
   • Más adelante en el artículo obtendrá información sobre estos controles.

4. Guarde la URL de redireccionamiento para más adelante.

   

   Nota

   Hay dos URL de redireccionamiento:
   

   • URL de redireccionamiento apunta al portal para desarrolladores más reciente de API Management.
   • URL de redireccionamiento (portal en desuso) apunta al portal para desarrolladores en desuso de API Management.

   Se recomienda usar la URL de redireccionamiento del portal para desarrolladores más reciente.

5. En el explorador, abra Azure Portal en una nueva pestaña.

6. Navegue hasta Registros de aplicaciones para registrar una aplicación en Active Directory.

7. Seleccione Nuevo registro. En la página Registrar una aplicación, establezca los valores de la manera siguiente:

   • Establezca el valor Name con un nombre descriptivo, como developer-portal
   • Establezca Tipos de cuenta admitidos en Solo las cuentas de este directorio organizativo.
   • En URI de redirección, seleccione Web y pegue la dirección URL de redireccionamiento que guardó en un paso anterior.
   • Seleccione Registrar.

8. Una vez registrada la aplicación, copie el Id. de aplicación (cliente) de la página Información general.

9. Cambie a la pestaña del explorador con su instancia de API Management.

10. En la ventana Agregar proveedor de identidades, pegue el valor de Id. de aplicación (cliente) en el cuadro Id. de cliente.

11. Cambie a la pestaña del explorador con el registro de aplicación.

12. Seleccione el registro de aplicación correspondiente.

13. En la sección Administrar del menú lateral, seleccione Secretos & de certificados.

14. En la página Secretos & de certificados, seleccione el botón Nuevo secreto de cliente en Secretos de cliente.

    • Escriba una Descripción.
    • Seleccione cualquier opción para Expiración.
    • Seleccione Agregar.

15. Copie el valor del secreto del cliente antes de salir de la página. Lo necesitará más adelante.

16. En la sección Administrar del menú lateral, seleccione Autenticación.

    1. En la sección Flujos de concesión implícita e híbridos, seleccione el cuadro de Tokens de id.
    2. Seleccione Guardar.

17. En Administrar, en el menú lateral, seleccione Configuración de token>+ Agregar notificación opcional.

    1. En Tipo de token, seleccione ID.
    2. Seleccione (compruebe) las siguientes notificaciones: email, family_name, given_name.
    3. Seleccione Agregar. Si se le solicita, seleccione Activar el correo electrónico y el permiso de perfil de Microsoft Graph.

18. Cambie a la pestaña del explorador con su instancia de API Management.

19. Pegue el secreto en el campo Secreto de cliente del panel Agregar proveedor de identidades.

    Importante

    Actualice el secreto de cliente antes de que expire la clave.

20. En el campo Inquilinos permitidos del panel Agregar proveedor de identidades, especifique los dominios de instancias de Azure AD a los que quiera conceder acceso a las API de instancias del servicio API Management.

    • Puede separar varios dominios mediante nuevas líneas, espacios o comas.

    Nota

    Puede especificar varios dominios en la sección Allowed Tenants (Inquilinos permitidos). Una administración global debe conceder a la aplicación acceso a datos de directorio antes de que los usuarios puedan iniciar sesión desde un dominio diferente al de registro de aplicación original. Para conceder permiso, el administrador global debe:

    1. Ir a https://<URL of your developer portal>/aadadminconsent (por ejemplo, https://contoso.portal.azure-api.net/aadadminconsent).
    2. Escribir el nombre de dominio del inquilino de Azure AD al que quiera conceder acceso.
    3. Seleccione Submit (Enviar).

21. Después de especificar la configuración deseada, seleccione Agregar.

22. Vuelva a publicar el portal para desarrolladores para que la configuración de Azure AD surta efecto. En el menú de la izquierda, en Portal para desarrolladores, seleccione Información general del portal>Publicar.

Una vez habilitado el proveedor de Azure AD:

• Los usuarios de la instancia de Azure AD especificada pueden iniciar sesión en el portal para desarrolladores mediante una cuenta de Azure AD.
• Puede administrar la configuración de Azure AD en la página Portal para desarrolladores>Identidades, en el portal.
• Opcionalmente, configure otras opciones de inicio de sesión seleccionando Identidades>Configuración. Por ejemplo, puede que desee redirigir a los usuarios anónimos a la página de inicio de sesión.
• Vuelva a publicar el portal para desarrolladores después de cualquier cambio de configuración.

Incorporación de un grupo externo de Azure AD

Ahora que ha habilitado el acceso para los usuarios en un inquilino de Azure AD, puede hacer lo siguiente:

• Agregar grupos de Azure AD a API Management.
• Controlar la visibilidad del producto usando grupos de Azure AD.

Siga estos pasos para conceder lo siguiente:

• Directory.Read.Allpermiso de aplicación para Microsoft Graph API.
• User.Readpermiso delegado para Microsoft Graph API.

1. Actualice las tres primeras líneas del siguiente script de la CLI de Azure para que coincidan con su entorno y ejecutarlo.

   $subId = "Your Azure subscription ID" #e.g. "1fb8fadf-03a3-4253-8993-65391f432d3a"
   $tenantId = "Your Azure AD Tenant or Organization ID" #e.g. 0e054eb4-e5d0-43b8-ba1e-d7b5156f6da8"
   $appObjectID = "Application Object ID that has been registered in AAD" #e.g. "2215b54a-df84-453f-b4db-ae079c0d2619"
   #Login and Set the Subscription
   az login
   az account set --subscription $subId
   #Assign the following permissions: Microsoft Graph Delegated Permission: User.Read, Microsoft Graph Application Permission: Directory.ReadAll
   az rest --method PATCH --uri "https://graph.microsoft.com/v1.0/$($tenantId)/applications/$($appObjectID)" --body "{'requiredResourceAccess':[{'resourceAccess': [{'id': 'e1fe6dd8-ba31-4d61-89e7-88639da4683d','type': 'Scope'},{'id': '7ab1d382-f21e-4acd-a863-ba3e13f7da61','type': 'Role'}],'resourceAppId': '00000003-0000-0000-c000-000000000000'}]}"
   

2. Cierre la sesión y vuelva a iniciar sesión en Azure Portal.

3. Vaya a la página Registro de aplicaciones de la aplicación que registró en la sección anterior.

4. Seleccione Permisos de API. Es necesario que consulte los permisos que haya concedido el script de la CLI de Azure en el paso 1.

5. Seleccione Conceder consentimiento del administrador para {tenantname} con el fin de conceder acceso a todos los usuarios de este directorio.

Ahora los grupos externos de Azure AD se pueden agregan desde la pestaña Grupos de la instancia de API Management.

1. En la sección Portal para desarrolladores del menú lateral, seleccione Grupos.

2. Seleccione el botón Agregar grupo de AAD.

   

3. Seleccione Inquilino en el menú desplegable.

4. Busque y seleccione el grupo que quiera agregar.

5. Presione el botón Select (Seleccionar).

Una vez que agregue un grupo externo de Azure AD, puede revisar y configurar sus propiedades:

1. Seleccione el nombre del grupo en la pestaña Groups (Grupos).
2. Edite la información de Nombre y Descripción del grupo.

Los usuarios de la instancia de Azure AD configurada ya pueden hacer lo siguiente:

• Iniciar sesión en el portal para desarrolladores.
• Ver los grupos para los que tengan visibilidad y suscribirse a ellos.

Nota

Para obtener más información sobre la diferencia entre los tipos de permiso delegado y de aplicación, consulte el artículo Permisos y consentimiento en la Plataforma de identidad de Microsoft.

Portal para desarrolladores: incorporación de la autenticación de la cuenta de Azure AD

En el portal para desarrolladores, puede iniciar sesión con Azure AD usando el widget Botón de inicio de sesión: OAuth incluido en la página de inicio de sesión del contenido predeterminado del portal para desarrolladores.

Aunque se creará automáticamente una cuenta cada vez que un nuevo usuario inicie sesión con Azure AD, considere la posibilidad de agregar el mismo widget a la página de registro. El widget Sign-up form: OAuth (Formulario de inicio de sesión: OAuth) representa un formulario que se utiliza para registrarse con OAuth.

Importante

Debe volver a publicar el portal para que los cambios de Azure AD surtan efecto.

Portal para desarrolladores heredado: inicio de sesión con Azure AD

Nota

El siguiente contenido de la documentación trata sobre el portal para desarrolladores en desuso. Puede seguir utilizándolo como de costumbre hasta su retirada en octubre de 2023, momento en el que se quitará de todos los servicios de API Management. El portal en desuso solo recibirá actualizaciones de seguridad críticas. Consulte los siguientes artículos para obtener más información:

• Información sobre cómo migrar al nuevo portal para desarrolladores
• Introducción al nuevo portal para desarrolladores de Azure API Management
• Acceso al nuevo portal para desarrolladores y personalización de este

Para iniciar sesión en el portal para desarrolladores usando una cuenta de Azure AD que ha configurado en las secciones anteriores:

1. Abra una nueva ventana del explorador usando la dirección URL de inicio de sesión de la configuración de aplicación de Active Directory.

2. Seleccione Azure Active Directory.

   

3. Escriba las credenciales de uno de los usuarios de Azure AD.

4. Seleccione Iniciar sesión.

   

5. En caso de que haga falta más información, puede que se le solicite mediante un formulario de registro.

6. Seleccione Suscribirse.

   

Ahora ya inició sesión en el portal para desarrolladores de la instancia del servicio API Management.

Pasos siguientes

• Obtenga información sobre cómo proteger un back-end de API web en Azure API Management usando la autorización de OAuth 2.0 con Azure AD.
• Obtenga más información sobre Escenarios de autenticación para Azure AD.
• Consulte más vídeos sobre la administración de API.
• Para conocer otras formas de proteger el servicio back-end, consulte Autenticación de certificado mutua.
• Creación de una instancia del servicio de API Management.
• Administración de su primera API en Administración de API de Azure.