Come autorizzare gli account per sviluppatori utilizzando OAuth 2.0 in Gestione API di AzureHow to authorize developer accounts using OAuth 2.0 in Azure API Management

Molte API supportano OAuth 2.0 per proteggere l'API e assicurare che solo gli utenti validi siano autorizzati all'accesso e che possano accedere solo alle risorse a cui hanno diritto.Many APIs support OAuth 2.0 to secure the API and ensure that only valid users have access, and they can only access resources to which they're entitled. Per usare la console per sviluppatori interattiva di Gestione API di Azure con queste API, il servizio permette di configurare l'istanza del servizio per l'uso delle API abilitate per OAuth 2.0.In order to use Azure API Management's interactive Developer Console with such APIs, the service allows you to configure your service instance to work with your OAuth 2.0 enabled API.

Prerequisiti Prerequisites

Questa guida illustra come configurare un'istanza del servizio Gestione API per l'uso dell'autorizzazione OAuth 2.0 per gli account per sviluppatori, ma non viene spiegato come configurare un provider OAuth 2.0.This guide shows you how to configure your API Management service instance to use OAuth 2.0 authorization for developer accounts, but does not show you how to configure an OAuth 2.0 provider. La configurazione cambia in base al provider OAuth 2.0, sebbene le procedure siano simili e le informazioni necessarie usate per la configurazione di OAuth 2.0 nell'istanza del servizio Gestione API siano le stesse.The configuration for each OAuth 2.0 provider is different, although the steps are similar, and the required pieces of information used in configuring OAuth 2.0 in your API Management service instance are the same. Questo argomento mostra degli esempi di utilizzo di Azure Active Directory come provider OAuth 2.0.This topic shows examples using Azure Active Directory as an OAuth 2.0 provider.

Nota

Per altre informazioni sulla configurazione di OAuth 2.0 mediante Azure Active Directory, vedere l'esempio WebApp-GraphAPI-DotNet.For more information on configuring OAuth 2.0 using Azure Active Directory, see the WebApp-GraphAPI-DotNet sample.

Configurare un server autorizzazione OAuth 2.0 in Gestione API Configure an OAuth 2.0 authorization server in API Management

Per iniziare, fare clic sul portale di pubblicazione nel Portale di Azure relativo al servizio Gestione API.To get started, click Publisher portal in the Azure Portal for your API Management service.

Portale di pubblicazione

Nota

Se non è ancora stata creata un'istanza del servizio Gestione API, vedere Creare un'istanza di Gestione API.If you have not yet created an API Management service instance, see Create an API Management service instance.

Fare clic su Sicurezza dal menu Gestione API a sinistra, scegliere OAuth 2.0 e fare clic su Add authorization server.Click Security from the API Management menu on the left, click OAuth 2.0, and then click Add authorization server.

OAuth 2.0

Dopo aver fatto clic su Add authorization server, viene visualizzato il modulo per il nuovo server autorizzazione.After clicking Add authorization server, the new authorization server form is displayed.

Nuovo server

Immettere un nome ed eventualmente una descrizione nei campi Nome e Descrizione.Enter a name and an optional description in the Name and Description fields.

Nota

Questi campi vengono usati per identificare il server autorizzazione OAuth 2.0 all'interno dell'istanza del servizio Gestione API corrente e i loro valori non provengono dal server OAuth 2.0.These fields are used to identify the OAuth 2.0 authorization server within the current API Management service instance and their values do not come from the OAuth 2.0 server.

Immettere il Client registration page URL.Enter the Client registration page URL. In questa pagina gli utenti possono creare e gestire i loro account e il suo contenuto varia in base al provider OAuth 2.0 usato.This page is where users can create and manage their accounts, and varies depending on the OAuth 2.0 provider used. Client registration page URL fa riferimento alla pagina che gli utenti possono usare per creare e configurare i propri account per i provider OAuth 2.0 che supportano la gestione degli account da parte degli utenti.The Client registration page URL points to the page that users can use to create and configure their own accounts for OAuth 2.0 providers that support user management of accounts. Alcune organizzazioni non configurano o usano questa funzionalità, anche se è supportata dal provider OAuth 2.0.Some organizations do not configure or use this functionality even if the OAuth 2.0 provider supports it. Se nel provider OAuth 2.0 non è stata configurata la gestione degli account da parte degli utenti, immettere qui un URL segnaposto, ad esempio l'URL della propria azienda, oppure un URL analogo a https://placeholder.contoso.com.If your OAuth 2.0 provider does not have user management of accounts configured, enter a placeholder URL here such as the URL of your company, or a URL such as https://placeholder.contoso.com.

La sezione successiva del modulo contiene le impostazioni relative a Authorization code grant types, Authorization endpoint URL e Authorization request method.The next section of the form contains the Authorization code grant types, Authorization endpoint URL, and Authorization request method settings.

Nuovo server

Selezionare i tipi desiderati in Authorization code grant types .Specify the Authorization code grant types by checking the desired types. Authorization code è specificato per impostazione predefinita.Authorization code is specified by default.

Immettere il valore relativo a Authorization endpoint URL.Enter the Authorization endpoint URL. Per Azure Active Directory, questo URL sarà simile all'URL seguente, dove <client_id> viene sostituito dall'ID client che identifica l'applicazione in uso nel server OAuth 2.0.For Azure Active Directory, this URL will be similar to the following URL, where <client_id> is replaced with the client id that identifies your application to the OAuth 2.0 server.

https://login.microsoftonline.com/<client_id>/oauth2/authorize

L'impostazione Authorization request method specifica la modalità di invio della richiesta di autorizzazione al server OAuth 2.0.The Authorization request method specifies how the authorization request is sent to the OAuth 2.0 server. Il valore selezionato per impostazione predefinita è GET .By default GET is selected.

Nella sezione successiva vengono specificate le impostazioni Token endpoint URL, Client authentication methods, Access token sending method e Ambito predefinito.The next section is where the Token endpoint URL, Client authentication methods, Access token sending method, and Default scope are specified.

Nuovo server

Per un server OAuth 2.0 di Azure Active Directory, il Token endpoint URL avrà il seguente formato, dove <APPID> avrà il formato yourapp.onmicrosoft.com.For an Azure Active Directory OAuth 2.0 server, the Token endpoint URL will have the following format, where <APPID> has the format of yourapp.onmicrosoft.com.

https://login.microsoftonline.com/<APPID>/oauth2/token

L'impostazione predefinita di Client authentication methods è Basic, mentre quella di Access token sending method è Authorization header.The default setting for Client authentication methods is Basic, and Access token sending method is Authorization header. Questi valori vengono configurati in questa sezione del modulo, insieme a Default scope.These values are configured on this section of the form, along with the Default scope.

La sezione Credenziali client contiene l'ID client e il Segreto client, che vengono ricavati durante il processo di creazione e configurazione del server OAuth 2.0.The Client credentials section contains the Client ID and Client secret, which are obtained during the creation and configuration process of your OAuth 2.0 server. Una volta specificati l'ID client e il Segreto client, viene generato il redirect_uri per il codice autorizzazione.Once the Client ID and Client secret are specified, the redirect_uri for the authorization code is generated. Questo URI viene usato per configurare l'URL di risposta nella configurazione del server OAuth 2.0.This URI is used to configure the reply URL in your OAuth 2.0 server configuration.

Nuovo server

Se Authorization code grant types è impostato su Resource owner password, la sezione Resource owner password credentials viene usata per specificare le credenziali; in caso contrario è possibile lasciarla vuota.If Authorization code grant types is set to Resource owner password, the Resource owner password credentials section is used to specify those credentials; otherwise you can leave it blank.

Nuovo server

Dopo aver completato il modulo, fare clic su Salva per salvare la configurazione del server autorizzazione OAuth 2.0 di Gestione API.Once the form is complete, click Save to save the API Management OAuth 2.0 authorization server configuration. Dopo aver salvato la configurazione del server, è possibile configurare le API in modo che usino questa configurazione, come illustrato nella sezione successiva.Once the server configuration is saved, you can configure APIs to use this configuration, as shown in the next section.

Configurare un'API per l'uso di un'autorizzazione utente OAuth 2.0 Configure an API to use OAuth 2.0 user authorization

Fare clic su API dal menu Gestione API a sinistra, fare clic sul nome dell'API desiderata, scegliere Sicurezza, quindi selezionare la casella relativa a OAuth 2.0.Click APIs from the API Management menu on the left, click the name of the desired API, click Security, and then check the box for OAuth 2.0.

Autorizzazione utente

Selezionare il server autorizzazione desiderato dall'elenco a discesa e fare clic su Salva.Select the desired Authorization server from the drop-down list, and click Save.

Autorizzazione utente

Test dell'autorizzazione utente OAuth 2.0 nel Portale per sviluppatori Test the OAuth 2.0 user authorization in the Developer Portal

Dopo aver configurato il server autorizzazione OAuth 2.0 e l'API per l'uso di tale server, è possibile testarlo andando al portale per sviluppatori e chiamando un'API.Once you have configured your OAuth 2.0 authorization server and configured your API to use that server, you can test it by going to the Developer Portal and calling an API. Fare clic su Developer portal nel menu in alto a destra.Click Developer portal in the top right menu.

Portale per sviluppatori

Fare clic su API nel menu superiore e scegliere API Echo.Click APIs in the top menu and select Echo API.

API Echo

Nota

Se è stata configurata una sola API o se ne è visibile solo una per l'account, facendo clic sulle API vengono visualizzate le operazioni per l'API.If you have only one API configured or visible to your account, then clicking APIs takes you directly to the operations for that API.

Selezionare l'operazione GET su risorsa, fare clic su Apri console, quindi selezionare codice di autorizzazione dal menu a discesa.Select the GET Resource operation, click Open Console, and then select Authorization code from the drop-down.

Open console

Quando Authorization code è selezionato, viene visualizzata una finestra popup con il modulo di accesso del provider OAuth 2.0.When Authorization code is selected, a pop-up window is displayed with the sign-in form of the OAuth 2.0 provider. In questo esempio il modulo di accesso viene fornito da Azure Active Directory.In this example the sign-in form is provided by Azure Active Directory.

Nota

Se i popup sono stati disattivati, verrà richiesto di attivarli tramite il browser.If you have pop-ups disabled you will be prompted to enable them by the browser. Dopo averli attivati, selezionare di nuovo Authorization code per visualizzare il modulo di accesso.After you enable them, select Authorization code again and the sign-in form will be displayed.

pagina di accesso

Dopo aver effettuato l'accesso, le intestazioni della richiesta vengono compilate con un'intestazione Authorization : Bearer che autorizza la richiesta.Once you have signed in, the Request headers are populated with an Authorization : Bearer header that authorizes the request.

Token di intestazione della richiesta

A questo punto è possibile configurare i valori desiderati per i restanti parametri e inviare la richiesta.At this point you can configure the desired values for the remaining parameters, and submit the request.

Passaggi successiviNext steps

Per altre informazioni sull'uso di OAuth 2.0 e di Gestione API, vedere il video seguente e l’ articolocorrelato.For more information about using OAuth 2.0 and API Management, see the following video and accompanying article.