Come autorizzare gli account per sviluppatori usando Azure Active Directory in Gestione API di Azure

Panoramica

Questa guida illustra come abilitare l'accesso al portale per sviluppatori per gli utenti da Azure Active Directory. Questa guida illustra anche come gestire gruppi di utenti di Azure Active Directory aggiungendo gruppi esterni contenenti gli utenti di una directory di Azure Active Directory.

Per completare i passaggi di questa guida, è necessaria una directory di Azure Active Directory in cui creare un'applicazione.

Come autorizzare gli account per sviluppatori usando Azure Active Directory

Per iniziare, fare clic su Portale di pubblicazione nel portale di Azure relativo al servizio Gestione API. Verrà visualizzato il portale di pubblicazione di Gestione API.

Portale di pubblicazione

Se non è stata creata un'istanza del servizio Gestione API, vedere Creare un'istanza di Gestione API nell'esercitazione Introduzione a Gestione API di Azure.

Fare clic su Security (Sicurezza) nel menu API Management (Gestione API) a sinistra e quindi su External Identities (Identità esterne).

Identità esterne

Fare clic su Azure Active Directory. Prendere nota dell' URL di reindirizzamento e passare alla directory di Azure Active Directory nel portale di Azure classico.

Identità esterne

Fare clic sul pulsante Aggiungi per creare una nuova applicazione Azure Active Directory e scegliere Aggiungi un'applicazione che l'organizzazione sta sviluppando.

Aggiungere una nuova applicazione Azure Active Directory

Immettere un nome per l'applicazione, selezionare Applicazione Web e/o API Web, quindi fare clic sul pulsante Avanti.

Nuova applicazione Azure Active Directory

In URL accessoimmettere l'URL di accesso del portale per sviluppatori. In questo esempio, il valore di URL accesso è https://aad03.portal.current.int-azure-api.net/signin.

In URL ID appimmettere il dominio predefinito un dominio personalizzato per Azure Active Directory e aggiungervi una stringa univoca. In questo esempio, il dominio predefinito di https://contoso5api.onmicrosoft.com viene usato con il suffisso /api specificato.

Proprietà della nuova applicazione Azure Active Directory

Fare clic sul pulsante con il segno di spunta per salvare e creare l'applicazione e passare alla scheda Configura per configurare la nuova applicazione.

Nuova applicazione Azure Active Directory creata

Se per questa applicazione verranno usate più directory di Azure Active Directory, fare clic su per L'applicazione è multi-tenant. Il valore predefinito è No.

L'applicazione è multi-tenant

Copiare l'URL di reindirizzamento dalla sezione Azure Active Directory della scheda External Identities (Identità esterne) del portale di pubblicazione e incollarlo nella casella di testo URL di risposta.

URL di risposta

Scorrere fino alla parte inferiore della scheda Configura e selezionare l'elenco a discesa Autorizzazioni applicazione e quindi Lettura dati directory.

Autorizzazioni applicazione

Selezionare l'elenco a discesa Autorizzazioni delegate e quindi Abilita l'accesso e la lettura del profilo utente.

Autorizzazioni delegate

Per altre informazioni sulle autorizzazioni applicazione e delegate, vedere Accesso all'API Graph.

Copiare l' ID client negli Appunti.

ID client

Tornare al portale di pubblicazione e incollare l' ID client copiato dalla configurazione dell'applicazione di Azure Active Directory.

Client Id

Tornare alla configurazione di Azure Active Directory e fare clic sull'elenco a discesa Seleziona durata nella sezione Chiavi e specificare un intervallo. In questo esempio viene usato 1 anno .

Chiave

Fare clic su Salva per salvare la configurazione e visualizzare la chiave. Copiare la chiave negli Appunti.

Annotare il valore relativo alla chiave. Una volta chiusa la finestra di configurazione di Azure Active Directory, la chiave non potrà più essere visualizzata.

Chiave

Tornare al portale di pubblicazione e incollare la chiave nella casella di testo Segreto client .

Segreto client

Tenant consentiti specifica le directory che hanno accesso alle API dell'istanza del servizio Gestione API. Specificare i domini delle istanze di Azure Active Directory a cui si vuole concedere l'accesso. È possibile separare più domini con virgole, spazi o caratteri di nuova riga.

Tenant consentiti

Una volta specificata la configurazione desiderata, fare clic su Salva.

Salva

Al termine del salvataggio delle modifiche, gli utenti nell'istanza di Azure Active Directory specificata possono accedere al portale per sviluppatori seguendo i passaggi in Accedere al portale per sviluppatori con un account Azure Active Directory.

Nella sezione Tenant consentiti si possono specificare più domini. Per consentire a un utente di accedere da un dominio diverso da quello originale in cui è stata registrata l'applicazione, un amministratore globale dell'altro dominio deve concedere l'autorizzazione che permette all'applicazione di accedere ai dati della directory. Per concedere l'autorizzazione, l'amministratore globale deve accedere all'https://<URL of your developer portal>/aadadminconsent, ad esempio https://contoso.portal.azure-api.net/aadadminconsent, digitare il nome di dominio del tenant di Active Directory a cui consentire l'accesso e fare clic su Invia. Nell'esempio seguente, un amministratore globale di miaoaad.onmicrosoft.com tenta di concedere l'autorizzazione a questo portale per sviluppatori specifico.

autorizzazioni

Nella schermata successiva all'amministratore globale verrà richiesto di confermare l'autorizzazione.

autorizzazioni

Se un amministratore non globale cerca di accedere prima che vengano concesse le autorizzazioni da un amministratore globale, il tentativo di accesso non riesce e viene visualizzata una schermata di errore.

Come aggiungere un gruppo di Azure Active Directory esterno

Dopo avere abilitato l'accesso per gli utenti in Azure Active Directory, è possibile aggiungere gruppi di Azure Active Directory in Gestione API per gestire più facilmente l'associazione degli sviluppatori del gruppo ai prodotti desiderati.

Prima di configurare un gruppo esterno di Azure Active Directory, è necessario configurare Azure Active Directory nella scheda Identità seguendo la procedura della sezione precedente.

I gruppi esterni di Azure Active Directory vengono aggiunti dalla scheda Visibilità del prodotto per cui si desidera concedere l'accesso al gruppo. Fare clic su Prodottie quindi fare clic sul nome del prodotto desiderato.

Configure product

Passare alla scheda Visibility (Visibilità) e fare clic su Add Groups from Azure Active Directory (Aggiungi gruppi da Azure Active Directory).

Aggiungere i gruppi

Selezionare il tenant di Azure Active Directory nell'elenco a discesa e quindi digitare il nome del gruppo desiderato nella casella di testo Groups to be added (Gruppi da aggiungere).

Selezionare un gruppo

Questo nome di gruppo è presente nell'elenco Gruppi di Azure Active Directory, come illustrato nell'esempio seguente.

Elenco di gruppi di Azure Active Directory

Fare clic su Aggiungi per convalidare il nome del gruppo e aggiungere il gruppo. In questo esempio viene aggiunto il gruppo esterno Contoso 5 Developers .

Gruppo aggiunto

Fare clic su Salva per salvare la nuova selezione di gruppi.

Una volta che un gruppo di Azure Active Directory è stato configurato da un prodotto, può essere selezionato nella scheda Visibilità di altri prodotti nell'istanza del servizio Gestione API.

Per rivedere e configurare le proprietà per i gruppi esterni dopo che sono stati aggiunti, fare clic sul nome del gruppo nella scheda Gruppi.

Gestire i gruppi

Da qui è possibile modificare il nome e la descrizione del gruppo.

Modificare un gruppo

Gli utenti dell'istanza di Azure Active Directory configurata possono accedere al portale per sviluppatori e visualizzare e sottoscrivere qualsiasi gruppo su cui hanno visibilità, seguendo le istruzioni della sezione seguente.

Come accedere al portale per sviluppatori con un account Azure Active Directory

Per accedere al portale per sviluppatori con un account Azure Active Directory configurato nelle sezioni precedenti, aprire una nuova finestra del browser con l'URL accesso della configurazione dell'applicazione Active Directory e fare clic su Azure Active Directory.

Portale per sviluppatori

Immettere le credenziali di uno degli utenti in Azure Active Directory e fare clic su Accedi.

Accedi

È possibile che venga richiesto di compilare un modulo di registrazione se sono necessarie altre informazioni. Compilare il modulo di registrazione e fare clic su Iscrizione.

Registrazione

L'utente ora è connesso al portale per sviluppatori per l'istanza del servizio Gestione API.

Registrazione completata