Azure API Management で Azure Active Directory を使用して開発者アカウントを承認するAuthorize developer accounts by using Azure Active Directory in Azure API Management

この記事では、Azure Active Directory (Azure AD) 内のユーザーに対して開発者ポータルへのアクセスを有効にする方法について説明します。This article shows you how to enable access to the developer portal for users from Azure Active Directory (Azure AD). また、Azure AD ユーザーが含まれた外部グループを追加することで Azure AD ユーザーのグループを管理する方法についても説明します。This guide also shows you how to manage groups of Azure AD users by adding external groups that contain the users.

前提条件Prerequisites

可用性Availability

重要

この機能は、API Management の PremiumStandardDeveloper レベルで使用できます。This feature is available in the Premium, Standard and Developer tiers of API Management.

Azure AD を使用して開発者アカウントを承認するAuthorize developer accounts by using Azure AD

  1. Azure Portal にサインインします。Sign in to the Azure portal.

  2. 選択Select 矢印.

  3. 検索ボックスに、「api」と入力します。Type api in the search box.

  4. [API Management サービス] を選択します。Select API Management services.

  5. お使いの API Management サービス インスタンスを選択します。Select your API Management service instance.

  6. [セキュリティ][ID] を選択します。Under Security, select Identities.

  7. 一番上にある [+追加] を選択します。Select +Add from the top.

    [ID プロバイダーの追加] ウィンドウが右側に表示されます。The Add identity provider pane appears on the right.

  8. [プロバイダーの種類][Azure Active Directory] を選択します。Under Provider type, select Azure Active Directory.

    その他必要な情報を入力するためのコントロールがウィンドウに表示されます。Controls that enable you to enter other necessary information appear in the pane. そのようなコントロールとして、 [クライアント ID][クライアント シークレット] がありますThe controls include Client ID and Client secret. (これらのコントロールに関する情報は、記事の後半で取得します)。(You get information about these controls later in the article.)

  9. [リダイレクト URL] の内容をメモします。Make a note of the content of Redirect URL.

    Azure Portal で ID プロバイダーを追加するための手順

  10. ブラウザーで別のタブを開きます。In your browser, open a different tab.

  11. Active Directory にアプリを登録するために、Azure portal - [アプリの登録] に移動します。Navigate to the Azure portal - App registrations to register an app in Active Directory.

  12. [管理][アプリの登録] を選択します。Under Manage, select App registrations.

  13. [新規登録] を選択します。Select New registration. [アプリケーションの登録] ページで、次のように値を設定します。On the Register an application page, set the values as follows:

  • [名前] をわかりやすい名前に設定します。Set Name to a meaningful name. 例: developer-portale.g., developer-portal
  • [サポートされているアカウントの種類][この組織のディレクトリ内のアカウントのみ] に設定します。Set Supported account types to Accounts in this organizational directory only.
  • [リダイレクト URI] を手順 9 で取得した値に設定します。Set Redirect URI to the value you got from step 9.
  • [登録] を選択します。Choose Register.
  1. アプリケーションが登録されたら、 [概要] ページから [アプリケーション (クライアント) ID] をコピーします。After the application is registered, copy the Application (client) ID from the Overview page.

  2. API Management インスタンスに戻ります。Go back to your API Management instance. [ID プロバイダーの追加] ウィンドウで、 [クライアント ID] ボックスに [アプリケーション (クライアント) ID] の値を貼り付けます。In the Add identity provider window, paste the Application (client) ID value into the Client ID box.

  3. Azure AD 構成に戻り、 [管理] の下の [証明書とシークレット] を選択します。Switch back to the Azure AD configuration, Select Certificates & secrets under Manage. [New client secret](新しいクライアント シークレット) ボタンを選択します。Select the New client secret button. [説明] に値を入力して、 [期限] で任意のオプションを選択し、 [追加] を選択します。Enter a value in Description, select any option for Expires and choose Add. ページから離れる前に、クライアント シークレット値をコピーします。Copy the client secret value before leaving the page. これは、次のステップで必要になります。You will need it in the next step.

  4. [管理] の下で、 [認証] を選択し、 [暗黙的な許可] の下の [ID トークン] を選択しますUnder Manage, select Authentication and then select ID tokens under Implicit Grant

  5. API Management インスタンスに戻り、 [クライアント シークレット] ボックスにシークレットを貼り付けます。Go back to your API Management instance, paste the secret into the Client secret box.

    重要

    キーの有効期限が切れる前に、クライアント シークレット キーを更新するようにしてください。Please make sure to update the Client secret before the key expires.

  6. [ID プロバイダーの追加] ウィンドウには、 [許可されているテナント] テキスト ボックスもあります。The Add identity provider window also contains the Allowed Tenants text box. ここには、API Management サービス インスタンスの API へのアクセスを許可する Azure AD インスタンスのドメインを指定します。There, specify the domains of the Azure AD instances to which you want to grant access to the APIs of the API Management service instance. 複数のドメインを指定する場合は、改行文字、スペース、またはコンマで区切ります。You can separate multiple domains with newlines, spaces, or commas.

注意

[許可されているテナント] セクションには、複数のドメインを指定できます。You can specify multiple domains in the Allowed Tenants section. アプリケーションが登録されている元のドメインとは別のドメインからユーザーがサインインするには、別のドメインの全体管理者がアプリケーションにディレクトリ データへのアクセス許可を付与する必要があります。Before any user can sign in from a different domain than the original domain where the application was registered, a global administrator of the different domain must grant permission for the application to access directory data. アクセス許可を付与するために、全体管理者は次の操作を行う必要があります。a.To grant permission, the global administrator should: a. https://<URL of your developer portal>/aadadminconsent に移動します (例: https://contoso.portal.azure-api.net/aadadminconsent) 。Go to https://<URL of your developer portal>/aadadminconsent (for example, https://contoso.portal.azure-api.net/aadadminconsent). b.b. アクセスを許可する Azure AD テナントのドメイン名を入力します。Type in the domain name of the Azure AD tenant that they want to give access to. c.c. [Submit](送信) をクリックします。Select Submit.

  1. 必要な構成を指定したら、 [追加] を選択します。After you specify the desired configuration, select Add.

変更が保存されると、指定された Azure AD インスタンスのユーザーは、「Azure AD アカウントを使用して開発者ポータルにサインインする」の手順に従って開発者ポータルにサインインできます。After the changes are saved, users in the specified Azure AD instance can sign in to the developer portal by following the steps in Sign in to the developer portal by using an Azure AD account.

外部 Azure AD グループを追加するAdd an external Azure AD group

Azure AD テナント内のユーザーのアクセスを有効にした後、API Management に Azure AD グループを追加できます。After you enable access for users in an Azure AD tenant, you can add Azure AD groups into API Management. その結果、Azure AD グループを使用して製品の可視性を制御できます。As a result, you can control product visibility using Azure AD groups.

外部 Azure AD グループを APIM に追加するには、先に前のセクションを完了しておく必要があります。To add an external Azure AD group into APIM, you must first complete the previous section. また、登録したアプリケーションには、次の手順に従って、Directory.ReadAll のアクセス許可で Azure Active Directory Graph API へのアクセスを許可する必要があります。Additionally, the application you registered must be granted access to the Azure Active Directory Graph API with Directory.ReadAll permission by following below steps:

  1. 前のセクションで作成したアプリの登録に戻りますGo back to your App Registration that was created in the previous section
  2. [API のアクセス許可] タブをクリックし、 [+Add a permission](+アクセス許可の追加) ボタンをクリックします。Click on the API Permissions tab, then click +Add a permission button
  3. [Request API Permissions](API のアクセス許可を要求する) ウィンドウで、 [Microsoft API] タブを選択し、一番下までスクロールして、[Supported Legacy APIs] (サポートされているレガシ API)セクションの下にある [Azure Active Directory Graph] タイルを見つけてクリックします。In the Request API Permissions pane, select the Microsoft APIs tab, and scroll to the bottom to find the Azure Active Directory Graph tile under the Supported Legacy APIs section and click it. 次に、 [APPLICATION Permissions](アプリケーションのアクセス許可) ボタンをクリックし、Directory.ReadAll アクセス許可を選択してから、一番下にあるボタンを使用してそのアクセス許可を追加します。Then click APPLICATION Permissions button, and select Directory.ReadAll permission and then add that permission using button at the bottom.
  4. [Grant admin consent for {tenantname}]({テナント名} に対する管理者の同意を与える) ボタンをクリックして、このディレクトリ内のすべてのユーザーに対するアクセスを許可します。Click the Grant admin consent for {tenantname} button so that you grant access for all users in this directory.

これで、外部の Azure AD グループを、API Management インスタンスの [グループ] タブから追加できるようになります。Now you can add external Azure AD groups from the Groups tab of your API Management instance.

  1. [グループ] タブを選択します。Select the Groups tab.
  2. [AAD グループの追加] ボタンを選択します。Select the Add AAD group button. [AAD グループの追加] ボタン"Add AAD group" button
  3. 追加するグループを選択します。Select the group that you want to add.
  4. [選択] ボタンを押します。Press the Select button.

外部 Azure AD グループを追加した後、そのプロパティを確認および構成できます。After you add an external Azure AD group, you can review and configure its properties. [グループ] タブからグループの名前を選択します。ここでは、グループの [名前][説明] の情報を編集できます。Select the name of the group from the Groups tab. From here, you can edit Name and Description information for the group.

これで、構成された Azure AD インスタンスのユーザーが開発者ポータルにサインインできるようになります。Users from the configured Azure AD instance can now sign in to the developer portal. これらのユーザーは、可視性があるすべてのグループを表示し、サブスクライブすることができます。They can view and subscribe to any groups for which they have visibility.

開発者ポータル - Azure AD アカウント認証の追加 Developer portal - add Azure AD account authentication

開発者ポータルでは、OAuth ボタン ウィジェットで AAD を使用してサインインできます。In the developer portal, sign-in with AAD is possible with the OAuth buttons widget. このウィジェットは、既定の開発者ポータル コンテンツのサインイン ページに既に含まれています。The widget is already included on the sign-in page of the default developer portal content.

AAD ボタン ウィジェット

新しいユーザーが AAD を使用してサインインするたびに新しいアカウントが自動的に作成されますが、サインアップ ページに同じウィジェットを追加することを検討できます。Although a new account will be automatically created whenever a new user signs in with AAD, you may consider adding the same widget to the sign-up page.

重要

AAD の変更を有効にするには、ポータルを再発行する必要があります。You need to republish the portal for the AAD changes to take effect.

従来の開発者ポータル - Azure AD を使用してサインインする方法Legacy developer portal - how to sign in with Azure AD

注意

このドキュメントの内容は、従来の開発者ポータルに関するものです。This documentation content is about the legacy developer portal. 新しい開発者ポータルに関する内容については、次の記事を参照してください。Refer to the following articles for content about the new developer portal:

前のセクションで構成した Azure AD アカウントを使用して開発者ポータルにサインインするには、次の操作を行います。To sign in to the developer portal by using an Azure AD account that you configured in the previous sections:

  1. Active Directory のアプリケーション構成のサインイン URL を使用して新しいブラウザー ウィンドウを開き、 [Azure Active Directory] を選択します。Open a new browser window by using the sign-in URL from the Active Directory application configuration, and select Azure Active Directory.

    サインイン ページ

  2. Azure AD 内のいずれかのユーザーの資格情報を入力し、 [サインイン] を選択します。Enter the credentials of one of the users in Azure AD, and select Sign in.

    ユーザー名とパスワードを使用してサインインする

  3. 追加情報が必要な場合は、登録フォームが表示されることがあります。You might be prompted with a registration form if any additional information is required. 登録フォームに入力し、 [サインアップ] を選択します。Complete the registration form, and select Sign up.

    登録フォームの [サインアップ] ボタン

ユーザーは、API Management サービス インスタンスの開発者ポータルにサインインしました。Your user is now signed in to the developer portal for your API Management service instance.

登録が完了した後の開発者ポータル