Share via

Biztonságos hozzáférés az API Management fejlesztői portáljához

  • Cikk

A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Alapszintű | Alapszintű v2 | Standard | Standard v2 | Prémium

Az API Management egy teljesen testre szabható, önálló, felügyelt fejlesztői portállal rendelkezik, amely külsőleg (vagy belsőleg) is használható annak érdekében, hogy a fejlesztői felhasználók felfedezhessék és interakcióba léphessenek az API Managementen keresztül közzétett API-kkal. A fejlesztői portál számos lehetőséget kínál a biztonságos felhasználói regisztráció és bejelentkezés megkönnyítésére.

Feljegyzés

A fejlesztői portál alapértelmezés szerint engedélyezi a névtelen hozzáférést. Ez azt jelenti, hogy bárki bejelentkezés nélkül megtekintheti a portált és az olyan tartalmakat, mint az API-k, bár az olyan funkciók, mint a tesztkonzol használata, korlátozottak. Engedélyezheti azt a beállítást, amely megköveteli, hogy a felhasználók bejelentkezhessenek a fejlesztői portál megtekintéséhez. Az Azure Portalon, az API Management-példány bal oldali menüjében, a Fejlesztői portál alatt válassza az Identitások> Gépház lehetőséget. A Névtelen felhasználók csoportban válassza a Névtelen felhasználók átirányítása a bejelentkezési lapra (engedélyezés) lehetőséget.

Hitelesítési lehetőségek

  • Külső felhasználók – A fejlesztői portál külső használata esetén az előnyben részesített beállítás az, ha engedélyezi az üzleti felhasználók számára a hozzáférés-vezérlést az Azure Active Directory B2C-n (Azure AD B2C) keresztül.

    • Az Azure AD B2C lehetővé teszi natív Azure AD B2C-fiókok használatát: a felhasználók regisztrálnak az Azure AD B2C-be, és ezzel az identitással férnek hozzá a fejlesztői portálhoz.
    • Az Azure AD B2C akkor is hasznos, ha azt szeretné, hogy a felhasználók a meglévő közösségi média vagy összevont szervezeti fiókok használatával férhessenek hozzá a fejlesztői portálhoz.
    • Az Azure AD B2C számos funkciót kínál a végfelhasználói regisztráció és a bejelentkezési élmény javítása érdekében, beleértve a feltételes hozzáférést és az MFA-t.

    Az Azure AD B2C-hitelesítés fejlesztői portálon való engedélyezésének lépéseit az Azure Active Directory B2C azure API Managementben történő engedélyezésével foglalkozó cikkben találja.

  • Belső felhasználók – A fejlesztői portál belső használata esetén előnyben részesített lehetőség a vállalati Microsoft Entra-azonosító használata. A Microsoft Entra ID zökkenőmentes egyszeri bejelentkezést (SSO) biztosít azoknak a vállalati felhasználóknak, akiknek api-kat kell elérnie és felderítenie a fejlesztői portálon keresztül.

    A Microsoft Entra-hitelesítés fejlesztői portálon való engedélyezésének lépéseit a fejlesztői fiókok Microsoft Entra-azonosítóval történő engedélyezésével az Azure API Managementben című témakörben találja.

  • Alapszintű hitelesítés – Az alapértelmezett beállítás a beépített fejlesztői portál felhasználónév- és jelszószolgáltatójának használata, amely lehetővé teszi a fejlesztők számára, hogy közvetlenül regisztráljanak az API Managementben, és API Management felhasználói fiókok használatával jelentkezzenek be. Az ezen a beállításon keresztül regisztrált felhasználót egy CAPTCHA-szolgáltatás védi.

Fejlesztői portál tesztkonzolja

Amellett, hogy konfigurációt biztosít a fejlesztői felhasználóknak a hozzáférésre való regisztrációhoz és a bejelentkezéshez, a fejlesztői portál egy tesztkonzolt is tartalmaz, ahol a fejlesztők az API Managementen keresztül küldhetnek tesztkéréseket a háttér api-knak. Ez a tesztkörnyezet az API Management azon közreműködő felhasználói számára is létezik, akik az Azure Portal használatával kezelik a szolgáltatást.

Ha az Azure API Managementen keresztül közzétett API-t az OAuth 2.0 védi – vagyis egy hívó alkalmazásnak (tulajdonosnak) érvényes hozzáférési jogkivonatot kell beszereznie és átadnia – konfigurálhatja az API Managementet úgy, hogy érvényes jogkivonatot hozzon létre az Azure Portal vagy a fejlesztői portál tesztkonzol-felhasználója nevében. További információ: Hogyan engedélyezheti a fejlesztői portál tesztkonzolját az OAuth 2.0 felhasználói engedélyezésének konfigurálásával.

Ha engedélyezni szeretné, hogy a tesztkonzol érvényes OAuth 2.0-jogkivonatot szerezzen be az API-teszteléshez:

  1. Adjon hozzá egy OAuth 2.0 felhasználói engedélyezési kiszolgálót a példányhoz. Bármilyen OAuth 2.0-szolgáltatót használhat, beleértve a Microsoft Entra ID-t, az Azure AD B2C-t vagy egy külső identitásszolgáltatót.

  2. Ezután konfigurálja az API-t az engedélyezési kiszolgáló beállításaival. A portálon konfigurálja az OAuth 2.0-hitelesítést az API Gépház biztonsági felhasználó engedélyezésének lapján>>.

    Képernyőkép egy API OAuth-beállításairól a portálon.

Az API-teszteléshez használt OAuth 2.0-konfiguráció független a fejlesztői portálhoz való felhasználói hozzáféréshez szükséges konfigurációtól. Az identitásszolgáltató és a felhasználó azonban ugyanaz lehet. Egy intranetes alkalmazás például megkövetelheti a felhasználói hozzáférést a fejlesztői portálhoz az egyszeri bejelentkezéssel és a vállalati identitással. Ugyanez a vállalati identitás beszerezhet egy jogkivonatot a tesztkonzolon keresztül, hogy a háttérszolgáltatást ugyanazzal a felhasználói környezettel hívja meg.

Forgatókönyvek

A különböző hitelesítési és engedélyezési lehetőségek különböző forgatókönyvekre vonatkoznak. Az alábbi szakaszok három példaforgatókönyv magas szintű konfigurációit ismertetik. További lépések szükségesek az API Management által közzétett API-k teljes körű védelméhez és konfigurálásához. A forgatókönyvek azonban szándékosan az egyes esetekben javasolt minimális konfigurációkra összpontosítanak a szükséges hitelesítés és engedélyezés biztosításához.

1. forgatókönyv – Intranetes API és alkalmazások

  • Az API Management egyik közreműködője és háttér API-fejlesztője közzé szeretne tenni egy, az OAuth 2.0 által védett API-t.
  • Az API-t olyan asztali alkalmazások fogják használni, amelyek felhasználói egyszeri bejelentkezéssel jelentkeznek be a Microsoft Entra-azonosítón keresztül.
  • Az asztali alkalmazásfejlesztőknek az API Management fejlesztői portálon keresztül kell felderítenie és tesztelnie az API-kat.

Kulcskonfigurációk:

Konfiguráció Referencia
Engedélyezze az API Management fejlesztői portál fejlesztői felhasználóinak a vállalati identitások és a Microsoft Entra-azonosító használatával történő engedélyezését. Fejlesztői fiókok engedélyezése a Microsoft Entra ID használatával az Azure API-kezelésben
Állítsa be a tesztkonzolt a fejlesztői portálon, hogy érvényes OAuth 2.0-jogkivonatot szerezzen be az asztali alkalmazás fejlesztőinek a háttér API használatára.

Ugyanez a konfiguráció használható a tesztkonzolhoz az Azure Portalon, amely az API Management közreműködői és a háttérfejlesztők számára érhető el.

A jogkivonat egy API Management-előfizetési kulccsal kombinálva használható.		 A fejlesztői portál tesztkonzoljának engedélyezése az OAuth 2.0 felhasználói engedélyezésének konfigurálásával

Előfizetések az Azure API Managementben
Ellenőrizze az OAuth 2.0 jogkivonatot és jogcímeket, ha egy API-t az API Managementen keresztül hív meg hozzáférési jogkivonattal. JWT-szabályzat ellenőrzése

Ezzel a forgatókönyvvel egy lépéssel továbbhaladhat az API Management hálózati szegélyhálózatra való áthelyezésével és a bejövő forgalom fordított proxyn keresztüli szabályozásával. Referenciaarchitektúra : API-k védelme az Application Gateway és az API Management használatával.

2. forgatókönyv – Külső API, partneralkalmazás

  • Az API Management közreműködője és háttér API-fejlesztője egy gyors megvalósíthatósági vizsgálatot szeretne végrehajtani egy örökölt API Azure API Managementen keresztüli felfedéséhez. Az API az API Managementen keresztül külsőleg (internetkapcsolattal) fog rendelkezni.
  • Az API ügyféltanúsítvány-hitelesítést használ, és egy új, nyilvános elérésű, egyoldalas alkalmazás (SPA) fogja használni, amelyet egy partner fejlesztett ki.
  • Az SPA az OAuth 2.0-t használja Az OpenID Csatlakozás (OIDC) használatával.
  • Az alkalmazásfejlesztők a fejlesztői portálon keresztül érhetik el az API-t egy tesztkörnyezetben, egy tesztháttérvégpont használatával felgyorsítva az előtérbeli fejlesztést.

Kulcskonfigurációk:

Konfiguráció Referencia
Konfigurálja az előtérbeli fejlesztői hozzáférést a fejlesztői portálhoz az alapértelmezett felhasználónév és jelszóhitelesítés használatával.

A fejlesztők a fejlesztői portálra is meghívhatók.		 A fejlesztői portál felhasználóinak konfigurálása felhasználónevek és jelszavak használatával történő hitelesítéshez

Felhasználói fiókok kezelése az Azure API Managementben
Ellenőrizze az OAuth 2.0 jogkivonatot és jogcímeket, amikor az SPA hozzáférési jogkivonattal hívja meg az API Managementet. Ebben az esetben a célközönség az API Management. JWT-szabályzat ellenőrzése
Az API Management beállítása ügyféltanúsítvány-hitelesítés használatára a háttérrendszerben. Háttérszolgáltatások védelme ügyféltanúsítvány-hitelesítéssel az Azure API Managementben

Ezzel a forgatókönyvvel egy lépéssel továbbhaladhat a microsoft entrai engedélyezéssel és a Microsoft Entra B2B együttműködéssel rendelkező fejlesztői portál használatával, hogy a kézbesítési partnerek szorosabban együttműködhessenek. Fontolja meg az API Managementhez való hozzáférés RBAC-vel való delegálását fejlesztési vagy tesztelési környezetben, és engedélyezze az egyszeri bejelentkezést a fejlesztői portálon a saját vállalati hitelesítő adataik használatával.

3. forgatókönyv – Nyilvánosan megnyitott külső API, az SaaS

  • Az API Management egyik közreműködője és háttér API-fejlesztője számos új API-t ír, amelyek elérhetők lesznek a közösségi fejlesztők számára.

  • Az API-k nyilvánosan elérhetők lesznek, teljes funkcionalitással, egy fizetőfal mögött védve és az OAuth 2.0-val biztosítva. A licenc megvásárlása után a fejlesztő saját ügyfél-hitelesítő adataival és az éles használatra érvényes előfizetési kulccsal rendelkezik.

  • A külső közösségi fejlesztők a fejlesztői portálon fogják felderíteni az API-kat. A fejlesztők a közösségimédia-fiókjukkal regisztrálnak és bejelentkeznek a fejlesztői portálra.

  • A teszt-előfizetési kulccsal rendelkező érdeklődő fejlesztői portál felhasználói tesztkörnyezetben fedezhetik fel az API funkcióit anélkül, hogy licencet kellene vásárolniuk. A fejlesztői portál tesztkonzolja a hívó alkalmazást jelöli, és létrehoz egy alapértelmezett hozzáférési jogkivonatot a háttér API-hoz.

    Figyelemfelhívás

    A fejlesztői portál tesztkonzolján az ügyfél hitelesítő adatainak használata esetén fokozott óvatosságra van szükség. Tekintse meg a biztonsági szempontokat.

Kulcskonfigurációk:

Konfiguráció Referencia
Állítson be termékeket az Azure API Managementben a közösségi fejlesztők számára elérhető API-k kombinációinak megjelenítéséhez.

Előfizetések beállítása, amelyek lehetővé teszik a fejlesztők számára az API-k használatát.		 Oktatóanyag: Termék létrehozása és közzététele

Előfizetések az Azure API Managementben
Konfigurálja a fejlesztői portálhoz való közösségi fejlesztői hozzáférést az Azure AD B2C használatával. Az Azure AD B2C ezután konfigurálható úgy, hogy egy vagy több alsóbb rétegbeli közösségimédia-identitásszolgáltatóval működjön együtt. Fejlesztői fiókok engedélyezése az Azure Active Directory B2C használatával az Azure API Managementben
Állítsa be a tesztkonzolt a fejlesztői portálon, hogy érvényes OAuth 2.0-jogkivonatot szerezzen be a háttér API-hoz az ügyfél hitelesítő adatainak folyamatával. A fejlesztői portál tesztkonzoljának engedélyezése az OAuth 2.0 felhasználói engedélyezésének konfigurálásával

Módosítsa az ebben a cikkben látható konfigurációs lépéseket úgy, hogy az engedélyezési kód engedélyezési folyamata helyett az ügyfél hitelesítő adatait adja meg.

Egy lépéssel továbbhaladhat a felhasználói regisztráció vagy a termék-előfizetés delegálásával, és kibővítheti a folyamatot a saját logikájával.

Következő lépések

  • További információ a hitelesítésről és az engedélyezésről a Microsoft Identitásplatform.
  • Ismerje meg, hogyan háríthatja el az OWASP API biztonsági fenyegetéseit az API Management használatával.