Come autorizzare gli account per sviluppatori usando Azure Active Directory in Gestione API di AzureHow to authorize developer accounts using Azure Active Directory in Azure API Management

Questa guida illustra come abilitare l'accesso al portale per sviluppatori per gli utenti da Azure Active Directory.This guide shows you how to enable access to the developer portal for users from Azure Active Directory. Questa guida illustra anche come gestire gruppi di utenti di Azure Active Directory aggiungendo gruppi esterni contenenti gli utenti di una directory di Azure Active Directory.This guide also shows you how to manage groups of Azure Active Directory users by adding external groups that contain the users of an Azure Active Directory.

Avviso

L'integrazione di Azure Active Directory è disponibile solo nei livelli Developer, Standard e Premium.Azure Active Directory integration is available in the Developer, Standard and Premium tiers only.

prerequisitiPrerequisites

Come autorizzare gli account per sviluppatori usando Azure Active DirectoryHow to authorize developer accounts using Azure Active Directory

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. SelectSelect freccia..
  3. Nella casella di ricerca digitare "api".Type "api" in the search box.
  4. Fare clic su Servizi Gestione API.Click API Management services.
  5. Selezionare l'istanza del servizio Gestione API.Select your APIM service instance.
  6. In Sicurezza selezionare Identità.Under SECURITY, select Identities.

    Identità esterne

  7. Fare clic su +Aggiungi nella parte superiore.Click +Add from the top.

    A destra verrà visualizzata la finestra Aggiungi provider di identità.The Add identity provider window appears on the right.

  8. In Tipo di provider selezionare Azure Active Directory.Under Provider type, select Azure Active Directory.

    Nella finestra verranno visualizzati i controlli che consentono di immettere le informazioni necessarie.Controls that enable you to enter other necessary information appear in the window. I controlli includono: ID client, Segreto client (descritti più avanti in questa esercitazione).The controls include: Client ID, Client secret (you get information later in the tutorial).

  9. Prendere nota del valore del campo URL di reindirizzamento.Make a note of the Redirect URL.
  10. Nel browser aprire una scheda diversa.In your browser, open a different tab.
  11. Aprire il portale di Azure.Open Azure portal.
  12. SelectSelect freccia..
  13. Digitare "active". Verrà visualizzato Azure Active Directory.Type "active", the Azure Active Directory appears.
  14. Selezionare Azure Active Directory.Select Azure Active Directory.
  15. In Gestisci selezionare Registrazione app.Under MANAGE, select App registration.

    Registrazione delle app

  16. Fare clic su Registrazione nuova applicazione.Click New application registration.

    Su lato destro verrà visualizzata la finestra Crea.The Create window appears on the right. Immettere le informazioni rilevanti per l'app AAD in questa finestra.That is where you enter the AAD app relavent information.

  17. Immettere un nome per l'applicazione.Eneter a name for the application.
  18. Selezionare App Web/API per il tipo di applicazione.For the application type, select Web app/API.
  19. In URL accesso immettere l'URL di accesso del portale per sviluppatori.For Sign-on URL, enter the sign-on URL of your developer portal. In questo esempio, l'URL di accesso è: https://apimwithaad.portal.azure-api.net/signin.In this example, the Sign-on URL is: https://apimwithaad.portal.azure-api.net/signin.
  20. Fare clic su Crea per creare l'applicazione.Click Create to create the application.
  21. Per trovare l'app, selezionare Registrazioni per l'app ed eseguire una ricerca in base al nome.To find your app, select App registrations and search by name.

    Registrazione delle app

  22. Dopo aver registrato l'applicazione, passare a URL di risposta e accertarsi che "URL di risposta" sia impostato sul valore annotato al passaggio 9.After the application is registered, go to Reply URL and make sure the "Redirect URL" is set to the value you got from step 9.
  23. Se si desidera configurare l'applicazione (ad esempio, modificare l'URL ID app) selezionare Proprietà.If you want to configure your application (for example, change App ID URL) select Properties.

    Registrazione delle app

    Se per questa applicazione verranno usate più directory di Azure Active Directory, fare clic su per L'applicazione è multi-tenant.If multiple Azure Active Directories are going to be used for this application, click Yes for Application is multi-tenant. Il valore predefinito è No.The default is No.

  24. Per impostare le autorizzazioni per l'applicazione, selezionare Autorizzazioni necessarie.Set application permissions by selecting Required permissions.
  25. Selezionare l'applicazione e le caselle di controllo Leggi i dati della directory e Accedi e leggi il profilo di un altro utente.Select the your application and check Read directory data and Sign in and read user profile.

    Registrazione delle app

    Per altre informazioni sulle autorizzazioni applicazione e delegate, vedere Accesso all'API Graph.For more information about application and delegated permissions, see Accessing the Graph API.

  26. Nella finestra a sinistra copiare il valore ID applicazione.In the left window, copy the Application ID value.

    Registrazione delle app

  27. Passare all'applicazione Gestione API.Switch back to your API Management application. La finestra Aggiungi provider di identità dovrebbe essere visualizzata.The Add identity provider window should be displayed.
    Incolla il valore ID applicazione nella casella ID client.Paste the Application ID value in the Client Id box.
  28. Tornare alla configurazione di Azure Active Directory e fare clic su Chiavi.Switch back to the Azure Active Directory configuration, and click on Keys.
  29. Creare una nuova chiave specificando un nome e una durata.Create a new key by speicifying a name and duration.
  30. Fare clic su Save.Click Save. La chiave viene generata.The key gets generated.

    Copiare la chiave negli Appunti.Copy the key to the clipboard.

    Registrazione delle app

    Nota

    Annotare il valore relativo alla chiave.Make a note of this key. Una volta chiusa la finestra di configurazione di Azure Active Directory, la chiave non potrà più essere visualizzata.Once you close the Azure Active Directory configuration window, the key cannot be displayed again.

  31. Passare all'applicazione Gestione API.Switch back to your API Management application.
    Nella finestra Aggiungi provider di identità incollare la chiave nella casella di testo Segreto client.In the Add identity provider window, paste the key into the Client secret text box.
  32. Nella finestra Aggiungi provider di identità è disponibile la casella Tenant consentiti, dove è possibile specificare le directory che dispongono dell'accesso alle API dell'istanza del servizio Gestione API.The Add identity provider window, contains the Allowed Tenants text box, in you specify which directories have access to the APIs of the API Management service instance.
    Specificare i domini delle istanze di Azure Active Directory a cui si vuole concedere l'accesso.Specify the domains of the Azure Active Directory instances to which you want to grant access. È possibile separare più domini con virgole, spazi o caratteri di nuova riga.You can separate multiple domains with newlines, spaces, or commas.

    Nella sezione Tenant consentiti si possono specificare più domini.Multiple domains can be specified in the Allowed Tenants section. Per consentire a un utente di accedere da un dominio diverso da quello originale in cui è stata registrata l'applicazione, un amministratore globale dell'altro dominio deve concedere l'autorizzazione che permette all'applicazione di accedere ai dati della directory.Before any user can log in from a different domain than the original domain where the application was registered, a global administrator of the different domain must grant permission for the application to access directory data. Per concedere l'autorizzazione, l'amministratore globale deve accedere all'https://<URL of your developer portal>/aadadminconsent, ad esempio https://contoso.portal.azure-api.net/aadadminconsent, digitare il nome di dominio del tenant di Active Directory a cui consentire l'accesso e fare clic su Invia.To grant permission, the global administrator should go to https://<URL of your developer portal>/aadadminconsent (for example, https://contoso.portal.azure-api.net/aadadminconsent), type in the domain name of the Active Directory tenant they want to give access to and click Submit. Nell'esempio seguente, un amministratore globale di miaoaad.onmicrosoft.com tenta di concedere l'autorizzazione a questo portale per sviluppatori specifico.In the following example, a global administrator from miaoaad.onmicrosoft.com is trying to give permission to this particular developer portal.

  33. Dopo aver specificato la configurazione desiderata, fare clic su Aggiungi.Once the desired configuration is specified, click Add.

    Registrazione delle app

Dopo aver salvato le modifiche, gli utenti nell'istanza di Azure Active Directory specificata possono accedere al portale per sviluppatori seguendo i passaggi descritti in Accedere al portale per sviluppatori con un account Azure Active Directory.Once the changes are saved, the users in the specified Azure Active Directory can sign in to the Developer portal by following the steps in Log in to the Developer portal using an Azure Active Directory account.

Autorizzazioni

Nella schermata successiva all'amministratore globale verrà richiesto di confermare l'autorizzazione.In the next screen, the global administrator will be prompted to confirm giving the permission.

Autorizzazioni

Se un amministratore non globale cerca di accedere prima che vengano concesse le autorizzazioni da un amministratore globale, il tentativo di accesso non riesce e viene visualizzata una schermata di errore.If a non-global administrator tries to log in before permissions are granted by a global administrator, the login attempt fails and an error screen is displayed.

Come aggiungere un gruppo di Azure Active Directory esternoHow to add an external Azure Active Directory Group

Dopo avere abilitato l'accesso per gli utenti in Azure Active Directory, è possibile aggiungere gruppi di Azure Active Directory in Gestione API per gestire più facilmente l'associazione degli sviluppatori del gruppo ai prodotti desiderati.After enabling access for users in an Azure Active Directory, you can add Azure Active Directory groups into API Management to more easily manage the association of the developers in the group with the desired products.

Prima di configurare un gruppo esterno di Azure Active Directory, è necessario configurare Azure Active Directory nella scheda Identità seguendo la procedura della sezione precedente.To configure an external Azure Active Directory group, the Azure Active Directory must first be configured in the Identities tab by following the procedure in the previous section.

I gruppi esterni di Azure Active Directory vengono aggiunti dalla scheda Gruppi dell'istanza di Gestione API.External Azure Active Directory groups are added from the Groups tab of your API Management instance.

Gruppi

  1. Selezionare la scheda Gruppi .Select the Groups tab.
  2. Fare clic sul pulsante Aggiungi gruppo AAD.Click the Add AAD group button.
  3. Selezionare il gruppo a cui che si vuole aggiungere.Select the group you want to add.
  4. Fare clic sul pulsante Seleziona.Press Select button.

Dopo aver creato il gruppo di Azure Active Directory, è possibile rivedere e configurare le proprietà per i gruppi esterni dopo che sono stati aggiunti facendo clic sul nome del gruppo nella scheda Gruppi.Once an Azure Active Directory group has been created, you can review and configure the properties for external groups once they have been added, click the name of the group from the Groups tab.

Da qui è possibile modificare il nome e la descrizione del gruppo.From here you can edit the Name and the Description of the group.

Gli utenti dell'istanza di Azure Active Directory configurata possono accedere al portale per sviluppatori e visualizzare e sottoscrivere qualsiasi gruppo su cui hanno visibilità, seguendo le istruzioni della sezione seguente.Users from the configured Azure Active Directory can sign in to the Developer portal and view and subscribe to any groups for which they have visibility by following the instructions in the following section.

Come accedere al portale per sviluppatori con un account Azure Active DirectoryHow to log in to the Developer portal using an Azure Active Directory account

Per accedere al portale per sviluppatori con un account Azure Active Directory configurato nelle sezioni precedenti, aprire una nuova finestra del browser con l'URL accesso della configurazione dell'applicazione Active Directory e fare clic su Azure Active Directory.To log into the Developer portal using an Azure Active Directory account configured in the previous sections, open a new browser window using the Sign-on URL from the Active Directory application configuration, and click Azure Active Directory.

Portale per sviluppatori

Immettere le credenziali di uno degli utenti in Azure Active Directory e fare clic su Accedi.Enter the credentials of one of the users in your Azure Active Directory, and click Sign in.

Accedi

È possibile che venga richiesto di compilare un modulo di registrazione se sono necessarie altre informazioni.You may be prompted with a registration form if any additional information is required. Compilare il modulo di registrazione e fare clic su Iscrizione.Complete the registration form and click Sign up.

Registrazione

L'utente ora è connesso al portale per sviluppatori per l'istanza del servizio Gestione API.Your user is now logged into the developer portal for your API Management service instance.

Registrazione completata