Avviso

L'integrazione di Azure Active Directory è disponibile solo nei livelli Developer e Premium.Azure Active Directory integration is available in the Developer and Premium tiers only.

Come autorizzare gli account per sviluppatori usando Azure Active Directory in Gestione API di AzureHow to authorize developer accounts using Azure Active Directory in Azure API Management

PanoramicaOverview

Questa guida illustra come abilitare l'accesso al portale per sviluppatori per gli utenti da Azure Active Directory.This guide shows you how to enable access to the developer portal for users from Azure Active Directory. Questa guida illustra anche come gestire gruppi di utenti di Azure Active Directory aggiungendo gruppi esterni contenenti gli utenti di una directory di Azure Active Directory.This guide also shows you how to manage groups of Azure Active Directory users by adding external groups that contain the users of an Azure Active Directory.

Per completare i passaggi di questa guida, è necessaria una directory di Azure Active Directory in cui creare un'applicazione.To complete the steps in this guide you must first have an Azure Active Directory in which to create an application.

Come autorizzare gli account per sviluppatori usando Azure Active DirectoryHow to authorize developer accounts using Azure Active Directory

Per iniziare, fare clic su Portale di pubblicazione nel portale di Azure relativo al servizio Gestione API.To get started, click Publisher portal in the Azure portal for your API Management service. Verrà visualizzato il portale di pubblicazione di Gestione API.This takes you to the API Management publisher portal.

Portale di pubblicazione

Se non è stata creata un'istanza del servizio Gestione API, vedere Creare un'istanza di Gestione API nell'esercitazione Introduzione a Gestione API di Azure.If you have not yet created an API Management service instance, see Create an API Management service instance in the Get started with Azure API Management tutorial.

Fare clic su Security (Sicurezza) nel menu API Management (Gestione API) a sinistra e quindi su External Identities (Identità esterne).Click Security from the API Management menu on the left and click External Identities.

Identità esterne

Fare clic su Azure Active Directory.Click Azure Active Directory. Prendere nota dell' URL di reindirizzamento e passare alla directory di Azure Active Directory nel portale di Azure classico.Make a note of the Redirect URL and switch over to your Azure Active Directory in the Azure Classic Portal.

Identità esterne

Fare clic sul pulsante Aggiungi per creare una nuova applicazione Azure Active Directory e scegliere Aggiungi un'applicazione che l'organizzazione sta sviluppando.Click the Add button to create a new Azure Active Directory application, and choose Add an application my organization is developing.

Aggiungere una nuova applicazione Azure Active Directory

Immettere un nome per l'applicazione, selezionare Applicazione Web e/o API Web, quindi fare clic sul pulsante Avanti.Enter a name for the application, select Web application and/or Web API, and click the next button.

Nuova applicazione Azure Active Directory

In URL accessoimmettere l'URL di accesso del portale per sviluppatori.For Sign-on URL, enter the sign-on URL of your developer portal. In questo esempio, il valore di URL accesso è https://aad03.portal.current.int-azure-api.net/signin.In this example, the Sign-on URL is https://aad03.portal.current.int-azure-api.net/signin.

In URL ID appimmettere il dominio predefinito un dominio personalizzato per Azure Active Directory e aggiungervi una stringa univoca.For the App ID URL, enter either the default domain or a custom domain for the Azure Active Directory, and append a unique string to it. In questo esempio, il dominio predefinito di https://contoso5api.onmicrosoft.com viene usato con il suffisso /api specificato.In this example, the default domain of https://contoso5api.onmicrosoft.com is used with the suffix of /api specified.

Proprietà della nuova applicazione Azure Active Directory

Fare clic sul pulsante con il segno di spunta per salvare e creare l'applicazione e passare alla scheda Configura per configurare la nuova applicazione.Click the check button to save and create the application, and switch to the Configure tab to configure the new application.

Nuova applicazione Azure Active Directory creata

Se per questa applicazione verranno usate più directory di Azure Active Directory, fare clic su per L'applicazione è multi-tenant.If multiple Azure Active Directories are going to be used for this application, click Yes for Application is multi-tenant. Il valore predefinito è No.The default is No.

L'applicazione è multi-tenant

Copiare l'URL di reindirizzamento dalla sezione Azure Active Directory della scheda External Identities (Identità esterne) del portale di pubblicazione e incollarlo nella casella di testo URL di risposta.Copy the Redirect URL from the Azure Active Directory section of the External Identities tab in the publisher portal and paste it into the Reply URL text box.

URL di risposta

Scorrere fino alla parte inferiore della scheda Configura e selezionare l'elenco a discesa Autorizzazioni applicazione e quindi Lettura dati directory.Scroll to the bottom of the configure tab, select the Application Permissions drop-down, and check Read directory data.

Autorizzazioni applicazione

Selezionare l'elenco a discesa Autorizzazioni delegate e quindi Abilita l'accesso e la lettura del profilo utente.Select the Delegate Permissions drop-down, and check Enable sign-on and read users' profiles.

Autorizzazioni delegate

Per altre informazioni sulle autorizzazioni applicazione e delegate, vedere Accesso all'API Graph.For more information about application and delegated permissions, see Accessing the Graph API.

Copiare l' ID client negli Appunti.Copy the Client Id to the clipboard.

ID client

Tornare al portale di pubblicazione e incollare l' ID client copiato dalla configurazione dell'applicazione di Azure Active Directory.Switch back to the publisher portal and paste in the Client Id copied from the Azure Active Directory application configuration.

Client Id

Tornare alla configurazione di Azure Active Directory e fare clic sull'elenco a discesa Seleziona durata nella sezione Chiavi e specificare un intervallo.Switch back to the Azure Active Directory configuration, and click the Select duration drop-down in the Keys section and specify an interval. In questo esempio viene usato 1 anno .In this example, 1 year is used.

Chiave

Fare clic su Salva per salvare la configurazione e visualizzare la chiave.Click Save to save the configuration and display the key. Copiare la chiave negli Appunti.Copy the key to the clipboard.

Annotare il valore relativo alla chiave.Make a note of this key. Una volta chiusa la finestra di configurazione di Azure Active Directory, la chiave non potrà più essere visualizzata.Once you close the Azure Active Directory configuration window, the key cannot be displayed again.

Chiave

Tornare al portale di pubblicazione e incollare la chiave nella casella di testo Segreto client .Switch back to the publisher portal and paste the key into the Client Secret text box.

Segreto client

Tenant consentiti specifica le directory che hanno accesso alle API dell'istanza del servizio Gestione API.Allowed Tenants specifies which directories have access to the APIs of the API Management service instance. Specificare i domini delle istanze di Azure Active Directory a cui si vuole concedere l'accesso.Specify the domains of the Azure Active Directory instances to which you want to grant access. È possibile separare più domini con virgole, spazi o caratteri di nuova riga.You can separate multiple domains with newlines, spaces, or commas.

Tenant consentiti

Una volta specificata la configurazione desiderata, fare clic su Salva.Once the desired configuration is specified, click Save.

Salva

Al termine del salvataggio delle modifiche, gli utenti nell'istanza di Azure Active Directory specificata possono accedere al portale per sviluppatori seguendo i passaggi in Accedere al portale per sviluppatori con un account Azure Active Directory.Once the changes are saved, the users in the specified Azure Active Directory can sign in to the Developer portal by following the steps in Log in to the Developer portal using an Azure Active Directory account.

Nella sezione Tenant consentiti si possono specificare più domini.Multiple domains can be specified in the Allowed Tenants section. Per consentire a un utente di accedere da un dominio diverso da quello originale in cui è stata registrata l'applicazione, un amministratore globale dell'altro dominio deve concedere l'autorizzazione che permette all'applicazione di accedere ai dati della directory.Before any user can log in from a different domain than the original domain where the application was registered, a global administrator of the different domain must grant permission for the application to access directory data. Per concedere l'autorizzazione, l'amministratore globale deve accedere all'https://<URL of your developer portal>/aadadminconsent, ad esempio https://contoso.portal.azure-api.net/aadadminconsent, digitare il nome di dominio del tenant di Active Directory a cui consentire l'accesso e fare clic su Invia.To grant permission, the global administrator should go to https://<URL of your developer portal>/aadadminconsent (for example, https://contoso.portal.azure-api.net/aadadminconsent), type in the domain name of the Active Directory tenant they want to give access to and click Submit. Nell'esempio seguente, un amministratore globale di miaoaad.onmicrosoft.com tenta di concedere l'autorizzazione a questo portale per sviluppatori specifico.In the following example, a global administrator from miaoaad.onmicrosoft.com is trying to give permission to this particular developer portal.

autorizzazioni

Nella schermata successiva all'amministratore globale verrà richiesto di confermare l'autorizzazione.In the next screen, the global administrator will be prompted to confirm giving the permission.

autorizzazioni

Se un amministratore non globale cerca di accedere prima che vengano concesse le autorizzazioni da un amministratore globale, il tentativo di accesso non riesce e viene visualizzata una schermata di errore.If a non-global administrator tries to log in before permissions are granted by a global administrator, the login attempt fails and an error screen is displayed.

Come aggiungere un gruppo di Azure Active Directory esternoHow to add an external Azure Active Directory Group

Dopo avere abilitato l'accesso per gli utenti in Azure Active Directory, è possibile aggiungere gruppi di Azure Active Directory in Gestione API per gestire più facilmente l'associazione degli sviluppatori del gruppo ai prodotti desiderati.After enabling access for users in an Azure Active Directory, you can add Azure Active Directory groups into API Management to more easily manage the association of the developers in the group with the desired products.

Prima di configurare un gruppo esterno di Azure Active Directory, è necessario configurare Azure Active Directory nella scheda Identità seguendo la procedura della sezione precedente.To configure an external Azure Active Directory group, the Azure Active Directory must first be configured in the Identities tab by following the procedure in the previous section.

I gruppi esterni di Azure Active Directory vengono aggiunti dalla scheda Visibilità del prodotto per cui si desidera concedere l'accesso al gruppo.External Azure Active Directory groups are added from the Visibility tab of the product for which you wish to grant access to the group. Fare clic su Prodottie quindi fare clic sul nome del prodotto desiderato.Click Products, and then click the name of the desired product.

Configure product

Passare alla scheda Visibility (Visibilità) e fare clic su Add Groups from Azure Active Directory (Aggiungi gruppi da Azure Active Directory).Switch to the Visibility tab, and click Add Groups from Azure Active Directory.

Aggiungere i gruppi

Selezionare il tenant di Azure Active Directory nell'elenco a discesa e quindi digitare il nome del gruppo desiderato nella casella di testo Groups to be added (Gruppi da aggiungere).Select the Azure Active Directory Tenant from the drop-down list, and then type the name of the desired group in the Groups to be added text box.

Selezionare un gruppo

Questo nome di gruppo è presente nell'elenco Gruppi di Azure Active Directory, come illustrato nell'esempio seguente.This group name can be found in the Groups list for your Azure Active Directory, as shown in the following example.

Elenco di gruppi di Azure Active Directory

Fare clic su Aggiungi per convalidare il nome del gruppo e aggiungere il gruppo.Click Add to validate the group name and add the group. In questo esempio viene aggiunto il gruppo esterno Contoso 5 Developers .In this example, the Contoso 5 Developers external group is added.

Gruppo aggiunto

Fare clic su Salva per salvare la nuova selezione di gruppi.Click Save to save the new group selection.

Una volta che un gruppo di Azure Active Directory è stato configurato da un prodotto, può essere selezionato nella scheda Visibilità di altri prodotti nell'istanza del servizio Gestione API.Once an Azure Active Directory group has been configured from one product, it is available to be checked on the Visibility tab for the other products in the API Management service instance.

Per rivedere e configurare le proprietà per i gruppi esterni dopo che sono stati aggiunti, fare clic sul nome del gruppo nella scheda Gruppi.To review and configure the properties for external groups once they have been added, click the name of the group from the Groups tab.

Gestire i gruppi

Da qui è possibile modificare il nome e la descrizione del gruppo.From here you can edit the Name and the Description of the group.

Modificare un gruppo

Gli utenti dell'istanza di Azure Active Directory configurata possono accedere al portale per sviluppatori e visualizzare e sottoscrivere qualsiasi gruppo su cui hanno visibilità, seguendo le istruzioni della sezione seguente.Users from the configured Azure Active Directory can sign in to the Developer portal and view and subscribe to any groups for which they have visibility by following the instructions in the following section.

Come accedere al portale per sviluppatori con un account Azure Active DirectoryHow to log in to the Developer portal using an Azure Active Directory account

Per accedere al portale per sviluppatori con un account Azure Active Directory configurato nelle sezioni precedenti, aprire una nuova finestra del browser con l'URL accesso della configurazione dell'applicazione Active Directory e fare clic su Azure Active Directory.To log into the Developer portal using an Azure Active Directory account configured in the previous sections, open a new browser window using the Sign-on URL from the Active Directory application configuration, and click Azure Active Directory.

Portale per sviluppatori

Immettere le credenziali di uno degli utenti in Azure Active Directory e fare clic su Accedi.Enter the credentials of one of the users in your Azure Active Directory, and click Sign in.

Accedi

È possibile che venga richiesto di compilare un modulo di registrazione se sono necessarie altre informazioni.You may be prompted with a registration form if any additional information is required. Compilare il modulo di registrazione e fare clic su Iscrizione.Complete the registration form and click Sign up.

Registrazione

L'utente ora è connesso al portale per sviluppatori per l'istanza del servizio Gestione API.Your user is now logged into the developer portal for your API Management service instance.

Registrazione completata