Autorización de cuentas de desarrollador mediante Microsoft Entra ID en Azure API Management

En este artículo, aprenderá a:

• Habilite el acceso al portal para desarrolladores para los usuarios desde Microsoft Entra ID.
• Administre grupos de usuarios de Microsoft Entra agregando grupos externos que contienen los usuarios.

Para obtener información general sobre las opciones para proteger el portal para desarrolladores, consulte Acceso seguro al portal para desarrolladores de API Management.

Importante

• Este artículo se ha actualizado con los pasos necesarios para configurar una aplicación de Microsoft Entra mediante la Biblioteca de autenticación de Microsoft (MSAL).
• Si anteriormente configuró una aplicación de Microsoft Entra para el inicio de sesión de usuario mediante la Biblioteca de autenticación de Azure AD (ADAL), se recomienda migrar a MSAL.

Requisitos previos

• Complete el inicio rápido Creación de una instancia de Azure API Management.

• Importe y publique una API en la instancia de API Management de Azure.

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

SE APLICA A: Desarrollador | Estándar | Premium

Vaya a la instancia de API Management.

1. En Azure Portal, busque y seleccione Servicios de API Management.

   

2. En la página de servicios API Management, seleccione la instancia de API Management.

   

Habilitación del inicio de sesión de usuario mediante Microsoft Entra ID: portal

Para simplificar la configuración, API Management puede habilitar automáticamente una aplicación de Microsoft Entra y un proveedor de identidades para los usuarios del portal para desarrolladores. Como alternativa, puede habilitar manualmente la aplicación Microsoft Entra y el proveedor de identidades.

Habilitar automáticamente la aplicación y el proveedor de identidades de Microsoft Entra

1. En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Información general del portal.

2. En la página de información general del portal, desplácese hacia abajo hasta Habilitar inicio de sesión de usuario con Microsoft Entra ID.

3. Seleccione Habilitar Microsoft Entra ID.

4. En la página Habilitar Microsoft Entra ID, seleccione Habilitar Microsoft Entra ID.

5. Seleccione Close (Cerrar).

   

Una vez habilitado el proveedor de Microsoft Entra:

• Los usuarios de la instancia de Microsoft Entra especificada pueden iniciar sesión en el portal para desarrolladores mediante una cuenta de Microsoft Entra.
• Puede administrar la configuración de Microsoft Entra en el portal para desarrolladores>página identidades en el portal.
• Opcionalmente, configure otras opciones de inicio de sesión seleccionando Identidades>Configuración. Por ejemplo, puede que desee redirigir a los usuarios anónimos a la página de inicio de sesión.
• Vuelva a publicar el portal para desarrolladores después de cualquier cambio de configuración.

Habilitar manualmente la aplicación y el proveedor de identidades de Microsoft Entra

1. En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Identidades.

2. Seleccione +Agregar en la parte superior para abrir el panel Agregar proveedor de identidades a la derecha.

3. En Type, seleccione Microsoft Entra ID en el menú desplegable. Una vez seleccionado, podrá especificar otra información necesaria,

   • En la lista desplegable Biblioteca cliente, seleccione MSAL.
   • Para agregar el identificador de cliente y el secreto de cliente, consulte los pasos que se indican más adelante en el artículo.

4. Guarde la URL de redireccionamiento para más adelante.

   

   Nota

   Hay dos URL de redireccionamiento:
   

   • URL de redireccionamiento apunta al portal para desarrolladores más reciente de API Management.
   • URL de redireccionamiento (portal en desuso) apunta al portal para desarrolladores en desuso de API Management.

   Se recomienda usar la URL de redireccionamiento del portal para desarrolladores más reciente.

5. En el explorador, abra Azure Portal en una nueva pestaña.

6. Navegue hasta Registros de aplicaciones para registrar una aplicación en Active Directory.

7. Seleccione Nuevo registro. En la página Registrar una aplicación, establezca los valores de la manera siguiente:

   • Establezca el valor Name con un nombre descriptivo, como developer-portal
   • Cambie los Tipos de cuenta compatibles a Cuentas en cualquier directorio organizativo.
   • En URI de redirección, seleccione Aplicación de página única (SPA) y pegue la dirección URL de redireccionamiento que guardó en un paso anterior.
   • Seleccione Registrar.

8. Una vez registrada la aplicación, copie el Id. de aplicación (cliente) de la página Información general.

9. Cambie a la pestaña del explorador con su instancia de API Management.

10. En la ventana Agregar proveedor de identidades, pegue el valor de Id. de aplicación (cliente) en el cuadro Id. de cliente.

11. Cambie a la pestaña del explorador con el registro de aplicación.

12. Seleccione el registro de aplicación correspondiente.

13. En la sección Administrar del menú lateral, seleccione Certificados y secretos.

14. En la página Certificados y secretos, seleccione el botón Nuevo secreto de cliente en Secretos de cliente.

    • Escriba una Descripción.
    • Seleccione cualquier opción para Expiración.
    • Seleccione Agregar.

15. Copie el valor del secreto del cliente antes de salir de la página. Lo necesitará más adelante.

16. En la sección Administrar del menú lateral, seleccione Autenticación.

    1. En la sección Flujos de concesión implícita e híbridos, seleccione el cuadro de Tokens de id.
    2. Seleccione Guardar.

17. En Administrar, en el menú lateral, seleccione Configuración de token>+ Agregar notificación opcional.

    1. En Tipo de token, seleccione ID.
    2. Seleccione (compruebe) las siguientes notificaciones: email, family_name, given_name.
    3. Seleccione Agregar. Si se le solicita, seleccione Activar el correo electrónico y el permiso de perfil de Microsoft Graph.

18. Cambie a la pestaña del explorador con su instancia de API Management.

19. Pegue el secreto en el campo Secreto de cliente del panel Agregar proveedor de identidades.

    Importante

    Actualice el secreto de cliente antes de que expire la clave.

20. En el campo Agregar proveedor de identidadesinquilinos permitidos, especifique los dominios de la instancia de Microsoft Entra a los que desea conceder acceso a las API de la instancia del servicio API Management.

    • Puede separar varios dominios mediante nuevas líneas, espacios o comas.

    Nota

    Puede especificar varios dominios en la sección Allowed Tenants (Inquilinos permitidos). Una administración global debe conceder a la aplicación acceso a datos de directorio antes de que los usuarios puedan iniciar sesión desde un dominio diferente al de registro de aplicación original. Para conceder permiso, el administrador global debe:

    1. Ir a https://<URL of your developer portal>/aadadminconsent (por ejemplo, https://contoso.portal.azure-api.net/aadadminconsent).
    2. Escriba el nombre de dominio del inquilino de Microsoft Entra al que desea conceder acceso.
    3. Seleccione Submit (Enviar).

21. Después de especificar la configuración deseada, seleccione Agregar.

22. Vuelva a publicar el portal para desarrolladores para que la configuración de Microsoft Entra surta efecto. En el menú de la izquierda, en Portal para desarrolladores, seleccione Información general del portal>Publicar.

Una vez habilitado el proveedor de Microsoft Entra:

• Los usuarios de la instancia de Microsoft Entra especificada pueden iniciar sesión en el portal para desarrolladores mediante una cuenta de Microsoft Entra.
• Puede administrar la configuración de Microsoft Entra en el portal para desarrolladores>página identidades en el portal.
• Opcionalmente, configure otras opciones de inicio de sesión seleccionando Identidades>Configuración. Por ejemplo, puede que desee redirigir a los usuarios anónimos a la página de inicio de sesión.
• Vuelva a publicar el portal para desarrolladores después de cualquier cambio de configuración.

Migración a MSAL

Si anteriormente configuró una aplicación de Microsoft Entra para el inicio de sesión de usuario mediante ADAL, puede usar el portal para migrar la aplicación a MSAL y actualizar el proveedor de identidades en API Management.

Actualización de la aplicación Microsoft Entra para la compatibilidad con MSAL

Para ver los pasos, consulte Cambio de URI de redirección al tipo de aplicación de página única.

Actualización de la configuración del proveedor de identidades

1. En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Identidades.
2. Seleccione Microsoft Entra ID en la lista.
3. En la lista desplegable Biblioteca cliente, seleccione MSAL.
4. Seleccione Actualizar.
5. Vuelva a publicar el portal para desarrolladores.

Agregar un grupo externo de Microsoft Entra

Ahora que ha habilitado el acceso para los usuarios de un inquilino de Microsoft Entra, puede hacer lo siguiente:

• Agregue grupos de Microsoft Entra a API Management.
• Controlar la visibilidad del producto mediante grupos de Microsoft Entra.

1. Vaya a la página Registro de aplicaciones de la aplicación que registró en la sección anterior.
2. Seleccione Permisos de API.
3. Agregue los siguientes permisos mínimos de aplicación para Microsoft Graph API:
   • Permiso de aplicación User.Read.All: API Management puede leer la pertenencia al grupo del usuario para realizar la sincronización de grupos en el momento en que el usuario inicia sesión.
   • Group.Read.All permiso de aplicación para que API Management pueda leer los grupos de Microsoft Entra cuando un administrador intenta agregar el grupo a API Management mediante la hoja Grupos en el portal.
4. Seleccione Conceder consentimiento del administrador para {tenantname} con el fin de conceder acceso a todos los usuarios de este directorio.

Ahora los grupos externos de Microsoft Entra se pueden agregan desde la pestaña Grupos de la instancia de API Management.

1. En la sección Portal para desarrolladores del menú lateral, seleccione Grupos.

2. Seleccione el botón Agregar grupo de Microsoft Entra.

   

3. Seleccione Inquilino en el menú desplegable.

4. Busque y seleccione el grupo que quiera agregar.

5. Presione el botón Select (Seleccionar).

Una vez que agregue un grupo externo de Microsoft Entra, puede revisar y configurar sus propiedades:

1. Seleccione el nombre del grupo en la pestaña Groups (Grupos).
2. Edite la información de Nombre y Descripción del grupo.

Los usuarios de la instancia de Microsoft Entra configurada ahora pueden:

• Iniciar sesión en el portal para desarrolladores.
• Ver los grupos para los que tengan visibilidad y suscribirse a ellos.

Nota

Para obtener más información sobre la diferencia entre los tipos de permiso delegado y de aplicación, consulte el artículo Permisos y consentimiento en la Plataforma de identidad de Microsoft.

Sincronice grupos de Microsoft Entra con API Management

Los grupos configurados en Microsoft Entra deben sincronizarse con API Management para poder agregarlos a la instancia. Si los grupos no se sincronizan automáticamente, realice una de las siguientes acciones para sincronizar manualmente la información del grupo:

• Cierre sesión e inicie sesión en Microsoft Entra ID. Esta actividad normalmente desencadena la sincronización de grupos.
• Asegúrese de que el inquilino de inicio de sesión de Microsoft Entra se especifica de la misma manera (mediante un identificador de inquilino o un nombre de dominio) en las opciones de configuración de API Management. Especifique el inquilino de inicio de sesión en el proveedor de identidades de Id. de Microsoft Entra para el portal para desarrolladores y al agregar un grupo de Microsoft Entra a API Management.

Portal para desarrolladores: Agregar autenticación de cuenta de Microsoft Entra

En el portal para desarrolladores, puede iniciar sesión con Microsoft Entra ID mediante el botón de inicio de sesión: OAuth widget incluido en la página de inicio de sesión del contenido predeterminado del portal para desarrolladores.

Aunque se creará automáticamente una nueva cuenta cuando un nuevo usuario inicie sesión con Microsoft Entra ID, considere la posibilidad de agregar el mismo widget a la página de registro. El widget Sign-up form: OAuth (Formulario de inicio de sesión: OAuth) representa un formulario que se utiliza para registrarse con OAuth.

Importante

Debe volver a publicar el portal para que los cambios en Microsoft Entra ID surtan efecto.

Contenido relacionado

• Obtenga más información sobre Microsoft Entra ID y OAuth2.0.
• Obtenga más información sobre MSAL y la migración a MSAL.
• Para solucionar problemas de conexión a Microsoft Graph desde dentro de una red virtual.