Autoriser des comptes de développeurs à l’aide d’Azure Active Directory dans Gestion des API AzureAuthorize developer accounts by using Azure Active Directory in Azure API Management

Cet article explique comment activer l’accès au portail des développeurs pour les utilisateurs à partir d’Azure Active Directory (Azure AD).This article shows you how to enable access to the developer portal for users from Azure Active Directory (Azure AD). Il montre également comment gérer des groupes d’utilisateurs Azure AD en ajoutant des groupes externes qui contiennent les utilisateurs.This guide also shows you how to manage groups of Azure AD users by adding external groups that contain the users.

Conditions préalables requisesPrerequisites

DisponibilitéAvailability

Important

Cette fonctionnalité est disponible dans les niveaux Premium, Standard, Développeur de Gestion des API.This feature is available in the Premium, Standard and Developer tiers of API Management.

Autoriser des comptes de développeurs à l’aide d’Azure ADAuthorize developer accounts by using Azure AD

  1. Connectez-vous au portail Azure.Sign in to the Azure portal.

  2. SélectionnezSelect flèche..

  3. Dans la zone de recherche, tapez api.Type api in the search box.

  4. Sélectionnez Services Gestion des API.Select API Management services.

  5. Sélectionnez votre instance de service Gestion des API.Select your API Management service instance.

  6. Sous Sécurité, sélectionnez Identités.Under Security, select Identities.

  7. Cliquez sur +Ajouter en haut.Select +Add from the top.

    Le volet Ajouter le fournisseur d’identité s’affiche à droite.The Add identity provider pane appears on the right.

  8. Sous Type du fournisseur, sélectionnez Azure Active Directory.Under Provider type, select Azure Active Directory.

    Les contrôles qui vous permettent d’entrer d’autres informations nécessaires apparaissent dans le volet.Controls that enable you to enter other necessary information appear in the pane. Il s’agit notamment des contrôles ID client et Clé secrète client.The controls include Client ID and Client secret. (Vous trouverez des informations sur ces contrôles plus loin dans l’article.)(You get information about these controls later in the article.)

  9. Prenez note du contenu de l’URL de redirection.Make a note of the content of Redirect URL.

    Étapes à suivre pour ajouter un fournisseur d’identité dans le portail Azure

  10. Dans votre navigateur, ouvrez un autre onglet.In your browser, open a different tab.

  11. Accédez au portail Azure - Inscriptions des applications pour inscrire une application dans Active Directory.Navigate to the Azure portal - App registrations to register an app in Active Directory.

  12. Sous Gérer, sélectionnez Inscriptions des applications.Under Manage, select App registrations.

  13. Sélectionnez Nouvelle inscription.Select New registration. Sur la page Inscrire une application, définissez les valeurs comme suit :On the Register an application page, set the values as follows:

  • Choisissez un nom explicite pour le champ Nom.Set Name to a meaningful name. Exemple : developer-portale.g., developer-portal
  • Définissez Types de comptes pris en charge sur Comptes dans cet annuaire organisationnel.Set Supported account types to Accounts in this organizational directory only.
  • Associez la valeur que vous avez obtenue à l’étape 9 à l’URI de redirection.Set Redirect URI to the value you got from step 9.
  • Choisissez Inscrire.Choose Register.
  1. Une fois que l’application est inscrite, copiez l’ID (client) d’application à partir de la page Vue d’ensemble.After the application is registered, copy the Application (client) ID from the Overview page.

  2. Retournez à votre instance Gestion des API.Go back to your API Management instance. Dans la fenêtre Ajouter le fournisseur d’identité, collez la valeur de l’ID (client) d’application dans la zone ID client.In the Add identity provider window, paste the Application (client) ID value into the Client ID box.

  3. Revenez à la configuration d’Azure AD, puis sélectionnez Certificats et secrets sous Gérer.Switch back to the Azure AD configuration, Select Certificates & secrets under Manage. Sélectionnez le bouton Nouvelle clé secrète client.Select the New client secret button. Entrez une valeur dans Description, puis sélectionnez une option pour Expiration et choisissez Ajouter.Enter a value in Description, select any option for Expires and choose Add. Copiez la valeur de la clé secrète client avant de quitter la page.Copy the client secret value before leaving the page. Vous en aurez besoin à l’étape suivante.You will need it in the next step.

  4. Sous Gérer, sélectionnez Authentification, puis sélectionnez Jetons d’ID sous Octroi implicite.Under Manage, select Authentication and then select ID tokens under Implicit Grant

  5. Revenez à votre instance Gestion des API et collez le secret dans la zone Clé secrète client.Go back to your API Management instance, paste the secret into the Client secret box.

    Important

    Veillez à mettre à jour le secret client avant l’expiration de la clé.Please make sure to update the Client secret before the key expires.

  6. La fenêtre Ajouter le fournisseur d’identité contient également la zone de texte Locataires autorisés.The Add identity provider window also contains the Allowed Tenants text box. Spécifiez les domaines des instances Azure AD auxquelles vous souhaitez accorder l’accès aux API de l’instance de service Gestion des API.There, specify the domains of the Azure AD instances to which you want to grant access to the APIs of the API Management service instance. Vous pouvez séparer plusieurs domaines par des sauts de ligne, des espaces ou des virgules.You can separate multiple domains with newlines, spaces, or commas.

Notes

Vous pouvez spécifier plusieurs domaines dans la section Locataires autorisés.You can specify multiple domains in the Allowed Tenants section. Pour qu’un utilisateur puisse se connecter à partir d’un autre domaine que le domaine d’origine dans lequel l’application a été enregistrée, l’administrateur général de l’autre domaine doit d’abord accorder à l’application l’autorisation d’accéder aux données de l’annuaire.Before any user can sign in from a different domain than the original domain where the application was registered, a global administrator of the different domain must grant permission for the application to access directory data. Pour accorder l’autorisation, l’administrateur général doit : a.To grant permission, the global administrator should: a. Accédez à https://<URL of your developer portal>/aadadminconsent (par exemple, https://contoso.portal.azure-api.net/aadadminconsent).Go to https://<URL of your developer portal>/aadadminconsent (for example, https://contoso.portal.azure-api.net/aadadminconsent). b.b. Taper le nom de domaine du locataire Azure AD auquel il souhaite autoriser l’accès.Type in the domain name of the Azure AD tenant that they want to give access to. c.c. Sélectionnez Envoyer.Select Submit.

  1. Après avoir spécifié la configuration désirée, sélectionnez Ajouter.After you specify the desired configuration, select Add.

Une fois les changements enregistrés, les utilisateurs de l’instance Azure AD spécifiée peuvent se connecter au portail des développeurs en suivant les étapes de la section Se connecter au portail des développeurs avec un compte Azure AD.After the changes are saved, users in the specified Azure AD instance can sign in to the developer portal by following the steps in Sign in to the developer portal by using an Azure AD account.

Ajouter un groupe Azure AD externeAdd an external Azure AD group

Après avoir activé l’accès pour les utilisateurs dans un locataire Azure AD, vous pouvez ajouter des groupes Azure AD dans Gestion des API.After you enable access for users in an Azure AD tenant, you can add Azure AD groups into API Management. Par conséquent, vous pouvez contrôler la visibilité des produits à l’aide de groupes Azure AD.As a result, you can control product visibility using Azure AD groups.

Pour ajouter un groupe Azure AD externe dans APIM, vous devez d’abord effectuer la section précédente.To add an external Azure AD group into APIM, you must first complete the previous section. En outre, l’application que vous avez inscrite doit avoir accès à l’API Graph d’Azure Active Directory avec l’autorisation Directory.ReadAll en suivant les étapes ci-dessous :Additionally, the application you registered must be granted access to the Azure Active Directory Graph API with Directory.ReadAll permission by following below steps:

  1. Revenez à l’inscription de votre application qui a été créée dans la section précédente.Go back to your App Registration that was created in the previous section
  2. Cliquez sur l’onglet Autorisations de l’API, puis cliquez sur le bouton + Ajouter une autorisation.Click on the API Permissions tab, then click +Add a permission button
  3. Dans le volet Demander les autorisations de l’API, sélectionnez l’onglet API Microsoft, puis faites défiler vers le bas pour trouver la vignette Azure Active Directory Graph dans la section API héritées prises en charge, puis cliquez dessus.In the Request API Permissions pane, select the Microsoft APIs tab, and scroll to the bottom to find the Azure Active Directory Graph tile under the Supported Legacy APIs section and click it. Cliquez ensuite sur le bouton Autorisations pour les APPLICATIONS, sélectionnez Directory.ReadAll, puis ajoutez cette autorisation à l’aide du bouton en bas de l’écran.Then click APPLICATION Permissions button, and select Directory.ReadAll permission and then add that permission using button at the bottom.
  4. Cliquez sur le bouton Accorder un consentement administrateur pour {tenantname} afin d’accorder l’accès à tous les utilisateurs de ce répertoire.Click the Grant admin consent for {tenantname} button so that you grant access for all users in this directory.

Vous pouvez maintenant ajouter des groupes Azure AD externes à partir de l’onglet Groupes de votre instance Gestion des API.Now you can add external Azure AD groups from the Groups tab of your API Management instance.

  1. Sélectionnez l’onglet Groupes .Select the Groups tab.
  2. Sélectionnez le bouton Ajouter un groupe AAD.Select the Add AAD group button. Bouton Ajouter un groupe AAD"Add AAD group" button
  3. Sélectionnez le groupe à ajouter.Select the group that you want to add.
  4. Appuyez sur le bouton Sélectionner.Press the Select button.

Après avoir ajouté un groupe Azure AD externe, vous pouvez passer en revue ses propriétés et les configurer.After you add an external Azure AD group, you can review and configure its properties. Sélectionnez le nom du groupe sous l’onglet Groupes. À ce stade, vous pouvez modifier les informations Nom et Description du groupe.Select the name of the group from the Groups tab. From here, you can edit Name and Description information for the group.

Les utilisateurs de l’instance Azure AD configurée peuvent à présent se connecter au portail des développeurs.Users from the configured Azure AD instance can now sign in to the developer portal. Ils peuvent afficher les groupes pour lesquels ils disposent d’une visibilité et s’abonner à ces groupes.They can view and subscribe to any groups for which they have visibility.

Portail des développeurs : ajouter l’authentification de compte Azure AD Developer portal - add Azure AD account authentication

Dans le portail des développeurs, il est possible de se connecter avec AAD à l’aide du widget Boutons OAuth.In the developer portal, sign-in with AAD is possible with the OAuth buttons widget. Le widget est déjà inclus dans la page de connexion du contenu du portail des développeurs par défaut.The widget is already included on the sign-in page of the default developer portal content.

Widget Boutons AAD

Bien qu’un compte soit automatiquement créé chaque fois qu’un utilisateur se connecte avec AAD, vous pouvez envisager d’ajouter le même widget à la page d’inscription.Although a new account will be automatically created whenever a new user signs in with AAD, you may consider adding the same widget to the sign-up page.

Important

Vous devez republier le portail pour que les modifications apportées à AAD prennent effet.You need to republish the portal for the AAD changes to take effect.

Portail des développeurs hérité : comment s’inscrire avec Azure ADLegacy developer portal - how to sign in with Azure AD

Notes

Le contenu de cette documentation s'applique à l'ancien portail des développeurs.This documentation content is about the legacy developer portal. Reportez-vous aux articles suivants pour en savoir plus sur le nouveau portail des développeurs :Refer to the following articles for content about the new developer portal:

Pour vous connecter au portail des développeurs à l’aide d’un compte Azure AD que vous avez configuré dans les sections précédentes :To sign in to the developer portal by using an Azure AD account that you configured in the previous sections:

  1. Ouvrez une nouvelle fenêtre de navigateur à l’aide de l’URL de connexion provenant de la configuration de l’application Active Directory, puis sélectionnez Azure Active Directory.Open a new browser window by using the sign-in URL from the Active Directory application configuration, and select Azure Active Directory.

    page de connexion

  2. Entrez les informations d’identification de l’un des utilisateurs dans Azure AD, puis sélectionnez Se connecter.Enter the credentials of one of the users in Azure AD, and select Sign in.

    Connexion avec un nom d’utilisateur et un mot de passe

  3. Un formulaire d’inscription peut vous être présenté si certaines informations supplémentaires sont nécessaires.You might be prompted with a registration form if any additional information is required. Renseignez le formulaire d’inscription, puis sélectionnez S’inscrire.Complete the registration form, and select Sign up.

    Bouton S’inscrire sur le formulaire d’inscription

Votre utilisateur est maintenant inscrit auprès du portail des développeurs pour votre instance de service Gestion des API.Your user is now signed in to the developer portal for your API Management service instance.

Portail des développeurs une fois l’inscription terminée