Ontwikkelaarsaccounts autoriseren met behulp van Azure Active Directory in Azure API Management

In dit artikel leert u het volgende:

  • Toegang tot de ontwikkelaarsportal inschakelen voor gebruikers vanuit Azure Active Directory (Azure AD).
  • Groepen van Azure AD gebruikers beheren door externe groepen toe te voegen die de gebruikers bevatten.

Vereisten

Beschikbaarheid

Belangrijk

Deze functie is beschikbaar in de Premium-, Standard- en Developer-lagen van API Management.

Ontwikkelaarsaccounts autoriseren met behulp van Azure AD

  1. Meld u aan bij de Azure-portal.

  2. Selecteer Arrow icon..

  3. Zoek en selecteer API Management services.

  4. Selecteer uw service-exemplaar van API Management.

  5. Selecteer Identiteiten onder De ontwikkelaarsportal.

  6. Selecteer +Toevoegen bovenaan om het deelvenster Id-provider toevoegen aan de rechterkant te openen.

  7. Selecteer onder TypeAzure Active Directory in de vervolgkeuzelijst.

    • Zodra deze optie is geselecteerd, kunt u andere benodigde gegevens invoeren.
    • Informatie omvat client-id en clientgeheim.
    • Zie verderop in het artikel meer informatie over deze besturingselementen.
  8. Sla de omleidings-URL op voor later gebruik.

    Add identity provider in Azure portal

    Notitie

    Er zijn twee omleidings-URL's:

    • Omleidings-URL verwijst naar de meest recente ontwikkelaarsportal van de API Management.
    • Omleidings-URL (afgeschafte portal) verwijst naar de afgeschafte ontwikkelaarsportal van API Management.

    U wordt aangeraden de meest recente omleidings-URL voor de ontwikkelaarsportal te gebruiken.

  9. Open de Azure Portal in uw browser op een nieuw tabblad.

  10. Ga naar App-registraties om een app te registreren in Active Directory.

  11. Selecteer Nieuwe registratie. Stel op de pagina Een toepassing registreren de waarden als volgt in:

    • Stel De naam in op een betekenisvolle naam. bijvoorbeeld developer-portal
    • Stel ondersteunde accounttypenalleen in op Accounts in deze organisatiemap.
    • Stel de omleidings-URI in op de waarde die u hebt opgeslagen in stap 9.
    • Selecteer Registreren.
  12. Nadat u de toepassing hebt geregistreerd, kopieert u de toepassings-id (client) op de overzichtspagina .

  13. Ga naar het browsertabblad met uw API Management exemplaar.

  14. Plak in het venster Id-provider toevoegen de waarde van de toepassings-id (client) in het vak Client-id .

  15. Ga naar het browsertabblad met de app-registratie.

  16. Selecteer de juiste app-registratie.

  17. Selecteer Certificatengeheimen &in de sectie Beheren van het zijmenu.

  18. Selecteer op de pagina Certificatengeheim & de knop Nieuw clientgeheim onder Clientgeheimen.

    • Voer een beschrijving in.
    • Selecteer een optie voor Verlopen.
    • Kies Toevoegen.
  19. Kopieer de waarde van het clientgeheim voordat u de pagina verlaat. U hebt dit later nodig.

  20. Selecteer Verificatie onder Beheren in het zijmenu.

  21. Schakel onder de secties Impliciete toekenning en hybride stromen het selectievakje ID-tokens in.

  22. Ga naar het browsertabblad met uw API Management exemplaar.

  23. Plak het geheim in het veld Clientgeheim in het deelvenster Id-provider toevoegen .

    Belangrijk

    Werk het clientgeheim bij voordat de sleutel verloopt.

  24. Geef in het deelvenster Toegestane tenants van het deelvenster Toegestane tenants de domeinen van de Azure AD exemplaren op waaraan u toegang wilt verlenen tot de API's van het API Management service-exemplaar.

    • U kunt meerdere domeinen scheiden met nieuwe regels, spaties of komma's.

    Notitie

    U kunt meerdere domeinen opgeven in de sectie Toegestane tenants . Een globaal beheer moet de toepassing toegang verlenen tot directorygegevens voordat gebruikers zich kunnen aanmelden vanuit een ander domein dan het oorspronkelijke app-registratiedomein. Als u machtigingen wilt verlenen, moet de globale beheerder het volgende doen:

    1. Ga naar https://<URL of your developer portal>/aadadminconsent (bijvoorbeeld https://contoso.portal.azure-api.net/aadadminconsent).
    2. Voer de domeinnaam in van de Azure AD tenant waaraan ze toegang willen verlenen.
    3. Selecteer Indienen.
  25. Nadat u de gewenste configuratie hebt opgegeven, selecteert u Toevoegen.

Zodra wijzigingen zijn opgeslagen, kunnen gebruikers in het opgegeven Azure AD exemplaar zich aanmelden bij de ontwikkelaarsportal met behulp van een Azure AD-account.

Een externe Azure AD groep toevoegen

Nu u toegang hebt ingeschakeld voor gebruikers in een Azure AD tenant, kunt u het volgende doen:

  • Voeg Azure AD groepen toe aan API Management.
  • De zichtbaarheid van producten beheren met behulp van Azure AD groepen.

Volg deze stappen om toe te kennen:

  • Directory.Read.All toepassingsmachtiging voor Microsoft Graph API.
  • User.Readgedelegeerde machtiging voor Microsoft Graph API.
  1. Werk de eerste drie regels van het volgende Azure CLI-script bij zodat het overeenkomt met uw omgeving en voer het uit.

    $subId = "Your Azure subscription ID" #e.g. "1fb8fadf-03a3-4253-8993-65391f432d3a"
    $tenantId = "Your Azure AD Tenant or Organization ID" #e.g. 0e054eb4-e5d0-43b8-ba1e-d7b5156f6da8"
    $appObjectID = "Application Object ID that has been registered in AAD" #e.g. "2215b54a-df84-453f-b4db-ae079c0d2619"
    #Login and Set the Subscription
    az login
    az account set --subscription $subId
    #Assign the following permissions: Microsoft Graph Delegated Permission: User.Read, Microsoft Graph Application Permission: Directory.ReadAll
    az rest --method PATCH --uri "https://graph.microsoft.com/v1.0/$($tenantId)/applications/$($appObjectID)" --body "{'requiredResourceAccess':[{'resourceAccess': [{'id': 'e1fe6dd8-ba31-4d61-89e7-88639da4683d','type': 'Scope'},{'id': '7ab1d382-f21e-4acd-a863-ba3e13f7da61','type': 'Role'}],'resourceAppId': '00000003-0000-0000-c000-000000000000'}]}"
    
  2. Meld u af en weer aan bij de Azure Portal.

  3. Ga naar de pagina App-registratie voor de toepassing die u in de vorige sectie hebt geregistreerd.

  4. Klik op API-machtigingen. In stap 1 ziet u de machtigingen die zijn verleend door het Azure CLI-script.

  5. Selecteer Beheerderstoestemming verlenen voor {tenantname} zodat u toegang verleent voor alle gebruikers in deze directory.

U kunt nu externe Azure AD groepen toevoegen op het tabblad Groepen van uw API Management exemplaar.

  1. Selecteer Groepen onder Ontwikkelaarsportal in het zijmenu.

  2. Selecteer de knop Azure AD groep toevoegen.

  3. Selecteer de tenant in de vervolgkeuzelijst.

  4. Zoek en selecteer de groep die u wilt toevoegen.

  5. Druk op de knop Selecteren .

Nadat u een externe Azure AD groep hebt toegevoegd, kunt u de eigenschappen ervan controleren en configureren:

  1. Selecteer de naam van de groep op het tabblad Groepen .
  2. Naam- en beschrijvingsgegevens voor de groep bewerken.

Gebruikers van het geconfigureerde Azure AD-exemplaar kunnen nu:

  • Meld u aan bij de ontwikkelaarsportal.
  • Bekijk en abonneer u op groepen waarvoor ze zichtbaarheid hebben.

Notitie

Meer informatie over het verschil tussen de typen gedelegeerde machtigingen en toepassingsmachtigingen in machtigingen en toestemming in het artikel Microsoft identity platform.

Ontwikkelaarsportal: Azure AD accountverificatie toevoegen

In de ontwikkelaarsportal kunt u zich aanmelden met Azure AD met behulp van de knop Aanmelden: OAuth-widget die is opgenomen op de aanmeldingspagina van de standaardinhoud van de ontwikkelaarsportal.

Hoewel er automatisch een nieuw account wordt gemaakt wanneer een nieuwe gebruiker zich aanmeldt met Azure AD, kunt u overwegen dezelfde widget toe te voegen aan de registratiepagina. Het aanmeldingsformulier: OAuth-widget vertegenwoordigt een formulier dat wordt gebruikt voor registratie met OAuth.

Belangrijk

U moet de portal opnieuw publiceren om de Azure AD wijzigingen van kracht te laten worden.

Verouderde ontwikkelaarsportal: aanmelden met Azure AD

Notitie

Deze documentatie bevat informatie over de afgeschafte ontwikkelaarsportal. U kunt deze zoals gebruikelijk blijven gebruiken tot de buitengebruikstelling in oktober 2023, wanneer de portal wordt verwijderd uit alle API Management Services. De afgeschafte portal ontvangt alleen essentiƫle beveiligingsupdates. Zie de volgende artikelen voor meer informatie:

Als u zich wilt aanmelden bij de ontwikkelaarsportal met behulp van een Azure AD-account dat u in de vorige secties hebt geconfigureerd:

  1. Open een nieuw browservenster met behulp van de aanmeldings-URL vanuit de configuratie van de Active Directory-toepassing.

  2. Selecteer Azure Active Directory.

    Sign-in page

  3. Voer de referenties in van een van de gebruikers in Azure AD.

  4. Selecteer Aanmelden.

    Signing in with username and password

  5. Als u hierom wordt gevraagd met een registratieformulier, vult u alle aanvullende informatie in.

  6. Selecteer Registreren.

Uw gebruiker is nu aangemeld bij de ontwikkelaarsportal voor uw API Management service-exemplaar.

Developer portal after registration is complete

Volgende stappen