Autorizzare gli account per sviluppatori usando Azure Active Directory in Gestione API di AzureAuthorize developer accounts by using Azure Active Directory in Azure API Management

Questo articolo illustra come abilitare l'accesso al portale per sviluppatori per gli utenti da Azure Active Directory (Azure AD).This article shows you how to enable access to the developer portal for users from Azure Active Directory (Azure AD). Spiega anche come gestire gruppi di utenti di Azure AD aggiungendo gruppi esterni contenenti gli utenti.This guide also shows you how to manage groups of Azure AD users by adding external groups that contain the users.

Nota

L'integrazione di Azure AD è disponibile solo nei livelli Developer, Standard e Premium.Azure AD integration is available in the Developer, Standard, and Premium tiers only.

prerequisitiPrerequisites

Autorizzare gli account per sviluppatori usando Azure ADAuthorize developer accounts by using Azure AD

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. SelectSelect freccia..
  3. Nella casella di ricerca digitare api.Type api in the search box.
  4. Selezionare Servizi Gestione API.Select API Management services.
  5. Selezionare l'istanza del servizio Gestione API in esecuzione.Select your API Management service instance.
  6. In Sicurezza selezionare Identità.Under SECURITY, select Identities.

  7. Selezionare +Aggiungi nella parte superiore.Select +Add from the top.

    Sulla destra verrà visualizzato il riquadro Aggiungi provider di identità.The Add identity provider pane appears on the right.

  8. In Tipo di provider selezionare Azure Active Directory.Under Provider type, select Azure Active Directory.

    Nel riquadro vengono visualizzati i controlli che consentono di immettere altre informazioni necessarie,Controls that enable you to enter other necessary information appear in the pane. tra cui ID client e Segreto client.The controls include Client ID and Client secret. Per altre informazioni su questi controlli, vedere più avanti in questo articolo.(You get information about these controls later in the article.)

  9. Prendere nota del contenuto del campo URL di reindirizzamento.Make a note of the contents of Redirect URL.

    Passaggi per l'aggiunta di un provider di identità nel portale di Azure

  10. Nel browser aprire una scheda diversa.In your browser, open a different tab.
  11. Accedere al portale di Azure.Go to the Azure portal.
  12. SelectSelect freccia..
  13. Digitare active.Type active. Verrà visualizzato il riquadro Azure Active Directory.The Azure Active Directory pane appears.
  14. Selezionare Azure Active Directory.Select Azure Active Directory.
  15. In GESTISCI selezionare Registrazioni per l'app.Under MANAGE, select App registrations.
  16. Selezionare Registrazione nuova applicazione.Select New application registration.

    Selezioni per la creazione di una nuova registrazione per l'app

    Sulla destra verrà visualizzato il riquadro Crea.The Create pane appears on the right. È qui che occorre immettere le informazioni rilevanti per l'app Azure AD.That's where you enter the Azure AD app-relevant information.

  17. Immettere un nome per l'applicazione.Enter a name for the application.
  18. Selezionare App Web/API per il tipo di applicazione.For the application type, select Web app/API.
  19. In URL accesso immettere l'URL di accesso del portale per sviluppatori.For the sign-in URL, enter the sign-in URL of your developer portal. In questo esempio, l'URL di accesso è https://apimwithaad.portal.azure-api.net/signin.In this example, the sign-in URL is https://apimwithaad.portal.azure-api.net/signin.
  20. Selezionare Crea per creare l'applicazione.Select Create to create the application.
  21. Per trovare l'app, selezionare Registrazioni per l'app ed eseguire una ricerca in base al nome.To find your app, select App registrations and search by name.

    Casella in cui cercare un'app

  22. Dopo aver registrato l'applicazione, passare a URL di risposta e accertarsi che URL di reindirizzamento sia impostato sul valore annotato al passaggio 9.After the application is registered, go to Reply URL and make sure Redirect URL is set to the value that you got from step 9.
  23. Se si vuole configurare l'applicazione (ad esempio, modificare l'URL ID app), selezionare Proprietà.If you want to configure your application (for example, change App ID URL), select Properties.

    Apertura del riquadro "Proprietà"

    Se per questa applicazione verranno usate più istanze di Azure AD, selezionare per Multi-tenant.If multiple Azure AD instances will be used for this application, select Yes for Multi-tenanted. Il valore predefinito è No.The default is No.

  24. Per impostare le autorizzazioni per l'applicazione, selezionare Autorizzazioni necessarie.Set application permissions by selecting Required permissions.
  25. Selezionare l'applicazione e quindi le caselle di controllo Leggi i dati della directory e Accedi e leggi il profilo di un altro utente.Select your application, and then select the Read directory data and Sign in and read user profile check boxes.

    Caselle di controllo per le autorizzazioni

    Per altre informazioni sulle autorizzazioni per l'applicazione e le autorizzazioni delegate, vedere Accesso all'API Graph.For more information about application permissions and delegated permissions, see Accessing the Graph API.

  26. Nel riquadro sinistro copiare il valore di ID applicazione.In the left pane, copy the Application ID value.

    Valore di "ID applicazione"

  27. Passare all'applicazione Gestione API.Switch back to your API Management application.

    Nella finestra Aggiungi provider di identità incollare il valore di ID applicazione nella casella ID client.In the Add identity provider window, paste the Application ID value in the Client ID box.

  28. Tornare alla configurazione di Azure AD e selezionare Chiavi.Switch back to the Azure AD configuration, and select Keys.
  29. Creare una nuova chiave specificando un nome e una durata.Create a new key by specifying a name and duration.
  30. Selezionare Salva.Select Save. La chiave viene generata.The key is generated.

    Copiare la chiave negli Appunti.Copy the key to the clipboard.

    Selezioni per la creazione di una chiave

    Nota

    Annotare il valore relativo alla chiave.Make a note of this key. Una volta chiuso il riquadro di configurazione di Azure AD, la chiave non potrà più essere visualizzata.After you close the Azure AD configuration pane, the key cannot be displayed again.

  31. Passare all'applicazione Gestione API.Switch back to your API Management application.

    Nella finestra Aggiungi provider di identità incollare la chiave nella casella di testo Segreto client.In the Add identity provider window, paste the key in the Client secret text box.

    Importante

    Assicurarsi di aggiornare il segreto client prima della scadenza della chiave.Please make sure to update the Client secret before the key expires.

  32. La finestra Aggiungi provider di identità contiene anche la casella di testo Tenant consentiti.The Add identity provider window also contains the Allowed Tenants text box. In questa casella specificare i domini delle istanze di Azure AD a cui si vuole concedere l'accesso alle API dell'istanza del servizio Gestione API.There, specify the domains of the Azure AD instances to which you want to grant access to the APIs of the API Management service instance. È possibile separare più domini con virgole, spazi o caratteri di nuova riga.You can separate multiple domains with newlines, spaces, or commas.

    Nella sezione Tenant consentiti si possono specificare più domini.You can specify multiple domains in the Allowed Tenants section. Per consentire a un utente di accedere da un dominio diverso da quello originale in cui è stata registrata l'applicazione, un amministratore globale dell'altro dominio deve concedere l'autorizzazione che permette all'applicazione di accedere ai dati della directory.Before any user can sign in from a different domain than the original domain where the application was registered, a global administrator of the different domain must grant permission for the application to access directory data. A tale scopo, l'amministratore globale deve:To grant permission, the global administrator should:

    a.a. Passare a https://<URL of your developer portal>/aadadminconsent (ad esempio, https://contoso.portal.azure-api.net/aadadminconsent).Go to https://<URL of your developer portal>/aadadminconsent (for example, https://contoso.portal.azure-api.net/aadadminconsent).

    b.b. Digitare il nome di dominio del tenant di Azure AD a cui concedere l'accesso.Type in the domain name of the Azure AD tenant that they want to give access to.

    c.c. Selezionare Submit (Invia).Select Submit.

    Nell'esempio seguente, un amministratore globale di miaoaad.onmicrosoft.com tenta di concedere l'autorizzazione a questo portale per sviluppatori specifico.In the following example, a global administrator from miaoaad.onmicrosoft.com is trying to give permission to this particular developer portal.

  33. Dopo aver specificato la configurazione desiderata, selezionare Aggiungi.After you specify the desired configuration, select Add.

    Pulsante "Aggiungi" nel riquadro "Aggiungi provider di identità"

Dopo aver salvato le modifiche, gli utenti nell'istanza di Azure AD specificata possono accedere al portale per sviluppatori seguendo i passaggi descritti in Accedere al portale per sviluppatori con un account Azure AD.After the changes are saved, users in the specified Azure AD instance can sign in to the developer portal by following the steps in Sign in to the developer portal by using an Azure AD account.

Immissione del nome di un tenant di Azure AD

Nella schermata successiva viene chiesto all'amministratore globale di confermare l'autorizzazione.On the next screen, the global administrator is prompted to confirm giving the permission.

Conferma dell'assegnazione delle autorizzazioni

Se un amministratore non globale cerca di accedere prima che un amministratore globale conceda le autorizzazioni, il tentativo di accesso non riesce e viene visualizzata una schermata di errore.If a non-global administrator tries to sign in before a global administrator grants permissions, the sign-in attempt fails and an error screen is displayed.

Aggiungere un gruppo di Azure AD esternoAdd an external Azure AD group

Dopo aver abilitato l'accesso per gli utenti in un'istanza di Azure AD, è possibile aggiungere gruppi di Azure AD in Gestione API.After you enable access for users in an Azure AD instance, you can add Azure AD groups in API Management. Si potrà così gestire più facilmente l'associazione degli sviluppatori del gruppo ai prodotti desiderati.Then, you can more easily manage the association of the developers in the group with the desired products.

Prima di configurare un gruppo esterno di Azure AD, è necessario configurare l'istanza di Azure AD nella scheda Identità seguendo la procedura descritta nella sezione precedente.To configure an external Azure AD group, you must first configure the Azure AD instance on the Identities tab by following the procedure in the previous section.

I gruppi esterni di Azure AD vengono aggiunti dalla scheda Gruppi dell'istanza di Gestione API.You add external Azure AD groups from the Groups tab of your API Management instance.

  1. Selezionare la scheda Gruppi .Select the Groups tab.
  2. Selezionare il pulsante Aggiungi gruppo AAD.Select the Add AAD group button. Pulsante "Aggiungi gruppo AAD""Add AAD group" button
  3. Selezionare il gruppo che si vuole aggiungere.Select the group that you want to add.
  4. Scegliere il pulsante Seleziona.Press the Select button.

Dopo aver aggiunto un gruppo di Azure AD esterno, è possibile esaminarne e configurarne le proprietà.After you add an external Azure AD group, you can review and configure its properties. Nella scheda Gruppi selezionare il nome del gruppo. Da qui è possibile modificare le informazioni del gruppo nelle caselle Nome e Descrizione.Select the name of the group from the Groups tab. From here, you can edit Name and Description information for the group.

Ora gli utenti dell'istanza di Azure AD configurata possono accedere al portale per sviluppatori.Users from the configured Azure AD instance can now sign in to the developer portal. Possono visualizzare e sottoscrivere qualsiasi gruppo per cui hanno visibilità.They can view and subscribe to any groups for which they have visibility.

Accedere al portale per sviluppatori con un account Azure ADSign in to the developer portal by using an Azure AD account

Per accedere al portale per sviluppatori con un account Azure AD configurato nelle sezioni precedenti:To sign in to the developer portal by using an Azure AD account that you configured in the previous sections:

  1. Aprire una nuova finestra del browser usando l'URL di accesso della configurazione dell'applicazione Active Directory e selezionare Azure Active Directory.Open a new browser window by using the sign-in URL from the Active Directory application configuration, and select Azure Active Directory.

    Pagina di accesso

  2. Immettere le credenziali di uno degli utenti di Azure AD e selezionare Accedi.Enter the credentials of one of the users in Azure AD, and select Sign in.

    Accesso con nome utente e password

  3. È possibile che venga chiesto di compilare un modulo di registrazione se sono necessarie altre informazioni.You might be prompted with a registration form if any additional information is required. Compilare il modulo di registrazione e selezionare Iscrizione.Complete the registration form, and select Sign up.

    Pulsante "Iscrizione" nel modulo di registrazione

L'utente è ora connesso al portale per sviluppatori per l'istanza del servizio Gestione API in esecuzione.Your user is now signed in to the developer portal for your API Management service instance.

Portale per sviluppatori dopo il completamento della registrazione