Ontwikkelaarsaccounts autoriseren met behulp van Azure Active Directory in Azure API Management

Is deze pagina nuttig?

Nog meer feedback?

Feedback wordt verzonden naar Microsoft: als u de knop Verzenden kiest, wordt uw feedback gebruikt om Microsoft-producten en -services te verbeteren. Privacybeleid.

In dit artikel leert u het volgende:

• Toegang tot de ontwikkelaarsportal inschakelen voor gebruikers vanuit Azure Active Directory (Azure AD).
• Groepen van Azure AD gebruikers beheren door externe groepen toe te voegen die de gebruikers bevatten.

Vereisten

• Voltooi de quickstart een Azure API Management-exemplaar maken.

• Een Exemplaar van Azure API Management importeren en publiceren.

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie Azure Cloud Shell Quickstart - Bash voor meer informatie.

  

• Als u liever CLI-referentieopdrachten lokaal uitvoert, installeert u de Azure CLI. Als u werkt met Windows of macOS, kunt u overwegen om Azure CLI uit te voeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht AZ login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij de Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

Beschikbaarheid

Belangrijk

Deze functie is beschikbaar in de Premium-, Standard- en Developer-lagen van API Management.

Ontwikkelaarsaccounts autoriseren met behulp van Azure AD

1. Meld u aan bij de Azure-portal.

2. Selecteer .

3. Zoek en selecteer API Management services.

4. Selecteer uw service-exemplaar van API Management.

5. Selecteer Identiteiten onder De ontwikkelaarsportal.

6. Selecteer +Toevoegen bovenaan om het deelvenster Id-provider toevoegen aan de rechterkant te openen.

7. Selecteer onder TypeAzure Active Directory in de vervolgkeuzelijst.

   • Zodra deze optie is geselecteerd, kunt u andere benodigde gegevens invoeren.
   • Informatie omvat client-id en clientgeheim.
   • Zie verderop in het artikel meer informatie over deze besturingselementen.

8. Sla de omleidings-URL op voor later gebruik.

   

   Notitie

   Er zijn twee omleidings-URL's:
   

   • Omleidings-URL verwijst naar de meest recente ontwikkelaarsportal van de API Management.
   • Omleidings-URL (afgeschafte portal) verwijst naar de afgeschafte ontwikkelaarsportal van API Management.

   U wordt aangeraden de meest recente omleidings-URL voor de ontwikkelaarsportal te gebruiken.

9. Open de Azure Portal in uw browser op een nieuw tabblad.

10. Ga naar App-registraties om een app te registreren in Active Directory.

11. Selecteer Nieuwe registratie. Stel op de pagina Een toepassing registreren de waarden als volgt in:

    • Stel De naam in op een betekenisvolle naam. bijvoorbeeld developer-portal
    • Stel ondersteunde accounttypenalleen in op Accounts in deze organisatiemap.
    • Stel de omleidings-URI in op de waarde die u hebt opgeslagen in stap 9.
    • Selecteer Registreren.

12. Nadat u de toepassing hebt geregistreerd, kopieert u de toepassings-id (client) op de overzichtspagina .

13. Ga naar het browsertabblad met uw API Management exemplaar.

14. Plak in het venster Id-provider toevoegen de waarde van de toepassings-id (client) in het vak Client-id .

15. Ga naar het browsertabblad met de app-registratie.

16. Selecteer de juiste app-registratie.

17. Selecteer Certificatengeheimen &in de sectie Beheren van het zijmenu.

18. Selecteer op de pagina Certificatengeheim & de knop Nieuw clientgeheim onder Clientgeheimen.

    • Voer een beschrijving in.
    • Selecteer een optie voor Verlopen.
    • Kies Toevoegen.

19. Kopieer de waarde van het clientgeheim voordat u de pagina verlaat. U hebt dit later nodig.

20. Selecteer Verificatie onder Beheren in het zijmenu.

21. Schakel onder de secties Impliciete toekenning en hybride stromen het selectievakje ID-tokens in.

22. Ga naar het browsertabblad met uw API Management exemplaar.

23. Plak het geheim in het veld Clientgeheim in het deelvenster Id-provider toevoegen .

    Belangrijk

    Werk het clientgeheim bij voordat de sleutel verloopt.

24. Geef in het deelvenster Toegestane tenants van het deelvenster Toegestane tenants de domeinen van de Azure AD exemplaren op waaraan u toegang wilt verlenen tot de API's van het API Management service-exemplaar.

    • U kunt meerdere domeinen scheiden met nieuwe regels, spaties of komma's.

    Notitie

    U kunt meerdere domeinen opgeven in de sectie Toegestane tenants . Een globaal beheer moet de toepassing toegang verlenen tot directorygegevens voordat gebruikers zich kunnen aanmelden vanuit een ander domein dan het oorspronkelijke app-registratiedomein. Als u machtigingen wilt verlenen, moet de globale beheerder het volgende doen:

    1. Ga naar https://<URL of your developer portal>/aadadminconsent (bijvoorbeeld https://contoso.portal.azure-api.net/aadadminconsent).
    2. Voer de domeinnaam in van de Azure AD tenant waaraan ze toegang willen verlenen.
    3. Selecteer Indienen.

25. Nadat u de gewenste configuratie hebt opgegeven, selecteert u Toevoegen.

Zodra wijzigingen zijn opgeslagen, kunnen gebruikers in het opgegeven Azure AD exemplaar zich aanmelden bij de ontwikkelaarsportal met behulp van een Azure AD-account.

Een externe Azure AD groep toevoegen

Nu u toegang hebt ingeschakeld voor gebruikers in een Azure AD tenant, kunt u het volgende doen:

• Voeg Azure AD groepen toe aan API Management.
• De zichtbaarheid van producten beheren met behulp van Azure AD groepen.

Volg deze stappen om toe te kennen:

• Directory.Read.All toepassingsmachtiging voor Microsoft Graph API.
• User.Readgedelegeerde machtiging voor Microsoft Graph API.

1. Werk de eerste drie regels van het volgende Azure CLI-script bij zodat het overeenkomt met uw omgeving en voer het uit.

   $subId = "Your Azure subscription ID" #e.g. "1fb8fadf-03a3-4253-8993-65391f432d3a"
   $tenantId = "Your Azure AD Tenant or Organization ID" #e.g. 0e054eb4-e5d0-43b8-ba1e-d7b5156f6da8"
   $appObjectID = "Application Object ID that has been registered in AAD" #e.g. "2215b54a-df84-453f-b4db-ae079c0d2619"
   #Login and Set the Subscription
   az login
   az account set --subscription $subId
   #Assign the following permissions: Microsoft Graph Delegated Permission: User.Read, Microsoft Graph Application Permission: Directory.ReadAll
   az rest --method PATCH --uri "https://graph.microsoft.com/v1.0/$($tenantId)/applications/$($appObjectID)" --body "{'requiredResourceAccess':[{'resourceAccess': [{'id': 'e1fe6dd8-ba31-4d61-89e7-88639da4683d','type': 'Scope'},{'id': '7ab1d382-f21e-4acd-a863-ba3e13f7da61','type': 'Role'}],'resourceAppId': '00000003-0000-0000-c000-000000000000'}]}"
   

2. Meld u af en weer aan bij de Azure Portal.

3. Ga naar de pagina App-registratie voor de toepassing die u in de vorige sectie hebt geregistreerd.

4. Klik op API-machtigingen. In stap 1 ziet u de machtigingen die zijn verleend door het Azure CLI-script.

5. Selecteer Beheerderstoestemming verlenen voor {tenantname} zodat u toegang verleent voor alle gebruikers in deze directory.

U kunt nu externe Azure AD groepen toevoegen op het tabblad Groepen van uw API Management exemplaar.

1. Selecteer Groepen onder Ontwikkelaarsportal in het zijmenu.

2. Selecteer de knop Azure AD groep toevoegen.

   

3. Selecteer de tenant in de vervolgkeuzelijst.

4. Zoek en selecteer de groep die u wilt toevoegen.

5. Druk op de knop Selecteren .

Nadat u een externe Azure AD groep hebt toegevoegd, kunt u de eigenschappen ervan controleren en configureren:

1. Selecteer de naam van de groep op het tabblad Groepen .
2. Naam- en beschrijvingsgegevens voor de groep bewerken.

Gebruikers van het geconfigureerde Azure AD-exemplaar kunnen nu:

• Meld u aan bij de ontwikkelaarsportal.
• Bekijk en abonneer u op groepen waarvoor ze zichtbaarheid hebben.

Notitie

Meer informatie over het verschil tussen de typen gedelegeerde machtigingen en toepassingsmachtigingen in machtigingen en toestemming in het artikel Microsoft identity platform.

Ontwikkelaarsportal: Azure AD accountverificatie toevoegen

In de ontwikkelaarsportal kunt u zich aanmelden met Azure AD met behulp van de knop Aanmelden: OAuth-widget die is opgenomen op de aanmeldingspagina van de standaardinhoud van de ontwikkelaarsportal.

Hoewel er automatisch een nieuw account wordt gemaakt wanneer een nieuwe gebruiker zich aanmeldt met Azure AD, kunt u overwegen dezelfde widget toe te voegen aan de registratiepagina. Het aanmeldingsformulier: OAuth-widget vertegenwoordigt een formulier dat wordt gebruikt voor registratie met OAuth.

Belangrijk

U moet de portal opnieuw publiceren om de Azure AD wijzigingen van kracht te laten worden.

Verouderde ontwikkelaarsportal: aanmelden met Azure AD

Notitie

Deze documentatie bevat informatie over de afgeschafte ontwikkelaarsportal. U kunt deze zoals gebruikelijk blijven gebruiken tot de buitengebruikstelling in oktober 2023, wanneer de portal wordt verwijderd uit alle API Management Services. De afgeschafte portal ontvangt alleen essentiële beveiligingsupdates. Zie de volgende artikelen voor meer informatie:

• Migreren naar de nieuwe ontwikkelaarsportal
• Overzicht van de nieuwe Azure API Management-ontwikkelaarsportal
• De nieuwe ontwikkelaarsportal openen en aanpassen

Als u zich wilt aanmelden bij de ontwikkelaarsportal met behulp van een Azure AD-account dat u in de vorige secties hebt geconfigureerd:

1. Open een nieuw browservenster met behulp van de aanmeldings-URL vanuit de configuratie van de Active Directory-toepassing.

2. Selecteer Azure Active Directory.

   

3. Voer de referenties in van een van de gebruikers in Azure AD.

4. Selecteer Aanmelden.

   

5. Als u hierom wordt gevraagd met een registratieformulier, vult u alle aanvullende informatie in.

6. Selecteer Registreren.

   

Uw gebruiker is nu aangemeld bij de ontwikkelaarsportal voor uw API Management service-exemplaar.

Volgende stappen

• Meer informatie over het beveiligen van uw web-API-back-end in API Management met behulp van OAuth 2.0-autorisatie met Azure AD
• Meer informatie over Azure Active Directory en OAuth2.0.
• Bekijk meer video's over API Management.
• Zie Wederzijdse certificaatverificatie voor andere manieren om uw back-endservice te beveiligen.
• Maak een API Management service-exemplaar.
• Beheer uw eerste API.