Autoryzowanie kont deweloperów przy użyciu identyfikatora Microsoft Entra w usłudze Azure API Management

Ten artykuł obejmuje następujące zagadnienia:

• Włącz dostęp do portalu deweloperów dla użytkowników z witryny Microsoft Entra ID.
• Zarządzaj grupami użytkowników firmy Microsoft Entra, dodając grupy zewnętrzne zawierające użytkowników.

Aby zapoznać się z omówieniem opcji zabezpieczania portalu deweloperów, zobacz Bezpieczny dostęp do portalu deweloperów usługi API Management.

Ważne

• Ten artykuł został zaktualizowany o kroki konfigurowania aplikacji Microsoft Entra przy użyciu biblioteki Microsoft Authentication Library (MSAL).
• Jeśli wcześniej skonfigurowano aplikację Microsoft Entra na potrzeby logowania użytkownika przy użyciu biblioteki Azure AD Authentication Library (ADAL), zalecamy przeprowadzenie migracji do biblioteki MSAL.

Wymagania wstępne

• Ukończ przewodnik Szybki start Tworzenie wystąpienia usługi Azure API Management.

• Importowanie i publikowanie interfejsu API w wystąpieniu usługi Azure API Management.

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

DOTYCZY: Developer | Standardowa | Premium

Przechodzenie do wystąpienia usługi API Management

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Usługi API Management.

   

2. Na stronie Usługi API Management wybierz wystąpienie usługi API Management.

   

Włączanie logowania użytkownika przy użyciu identyfikatora Entra firmy Microsoft — portal

Aby uprościć konfigurację, usługa API Management może automatycznie włączyć aplikację i dostawcę tożsamości firmy Microsoft dla użytkowników portalu deweloperów. Alternatywnie możesz ręcznie włączyć aplikację Microsoft Entra i dostawcę tożsamości.

Automatyczne włączanie aplikacji Microsoft Entra i dostawcy tożsamości

1. W menu po lewej stronie wystąpienia usługi API Management w obszarze Portal dla deweloperów wybierz pozycję Przegląd portalu.

2. Na stronie przeglądu portalu przewiń w dół do pozycji Włącz logowanie użytkownika przy użyciu identyfikatora Entra firmy Microsoft.

3. Wybierz pozycję Włącz identyfikator entra firmy Microsoft.

4. Na stronie Enable Microsoft Entra ID (Włącz identyfikator entra firmy Microsoft) wybierz pozycję Enable Microsoft Entra ID (Włącz identyfikator entra firmy Microsoft).

5. Wybierz Zamknij.

   

Po włączeniu dostawcy microsoft Entra:

• Użytkownicy w określonym wystąpieniu firmy Microsoft Entra mogą zalogować się do portalu deweloperów przy użyciu konta Microsoft Entra.
• Konfigurację firmy Microsoft Entra można zarządzać na stronie Tożsamości portalu>dla deweloperów w portalu.
• Opcjonalnie skonfiguruj inne ustawienia logowania, wybierając pozycję Tożsamości> Ustawienia. Możesz na przykład przekierować użytkowników anonimowych na stronę logowania.
• Opublikuj ponownie portal deweloperów po każdej zmianie konfiguracji.

Ręczne włączanie aplikacji Microsoft Entra i dostawcy tożsamości

1. W menu po lewej stronie wystąpienia usługi API Management w obszarze Portal deweloperów wybierz pozycję Tożsamości.

2. Wybierz pozycję +Dodaj u góry, aby otworzyć okienko Dodaj dostawcę tożsamości po prawej stronie.

3. W obszarze Typ wybierz pozycję Microsoft Entra ID z menu rozwijanego. Po wybraniu tej opcji będzie można wprowadzić inne niezbędne informacje.

   • Z listy rozwijanej Biblioteka klienta wybierz pozycję MSAL.
   • Aby dodać identyfikator klienta i klucz tajny klienta, zobacz kroki opisane w dalszej części artykułu.

4. Zapisz adres URL przekierowania na później.

   

   Uwaga

   Istnieją dwa adresy URL przekierowania:
   

   • Przekierowanie adresu URL wskazuje najnowszy portal deweloperów usługi API Management.
   • Adres URL przekierowania (przestarzały portal) wskazuje przestarzały portal deweloperów usługi API Management.

   Zalecamy użycie najnowszego adresu URL przekierowania portalu dla deweloperów.

5. W przeglądarce otwórz witrynę Azure Portal na nowej karcie.

6. Przejdź do Rejestracje aplikacji, aby zarejestrować aplikację w usłudze Active Directory.

7. Wybierz opcjęNowa rejestracja. Na stronie Rejestrowanie aplikacji ustaw następujące wartości:

   • Ustaw nazwę na zrozumiałą nazwę, taką jak developer-portal
   • Ustaw wartość Obsługiwane typy kont na Konta w dowolnym katalogu organizacyjnym.
   • W polu Identyfikator URI przekierowania wybierz pozycję Aplikacja jednostronicowa (SPA) i wklej adres URL przekierowania zapisany w poprzednim kroku.
   • Wybierz pozycję Zarejestruj.

8. Po zarejestrowaniu aplikacji skopiuj identyfikator aplikacji (klienta) ze strony Przegląd .

9. Przejdź do karty przeglądarki przy użyciu wystąpienia usługi API Management.

10. W oknie Dodawanie dostawcy tożsamości wklej wartość Identyfikator aplikacji (klienta) w polu Identyfikator klienta.

11. Przejdź do karty przeglądarki z rejestracją aplikacji.

12. Wybierz odpowiednią rejestrację aplikacji.

13. W sekcji Zarządzanie menu bocznego wybierz pozycję Certyfikaty i wpisy tajne.

14. Na stronie Certyfikaty i wpisy tajne wybierz przycisk Nowy klucz tajny klienta w obszarze Wpisy tajne klienta.

    • Wprowadź opis.
    • Wybierz dowolną opcję wygasania.
    • Wybierz opcję Dodaj.

15. Skopiuj wartość klucza tajnego klienta przed opuszczeniem strony. Będzie potrzebny później.

16. W obszarze Zarządzaj w menu bocznym wybierz pozycję Uwierzytelnianie.

    1. W sekcji Niejawne udzielanie i przepływy hybrydowe zaznacz pole wyboru Tokeny identyfikatorów.
    2. Wybierz pozycję Zapisz.

17. W obszarze Zarządzaj w menu bocznym wybierz pozycję Konfiguracja> tokenu+ Dodaj opcjonalne oświadczenie.

    1. W polu Typ tokenu wybierz pozycję Identyfikator.
    2. Wybierz (sprawdź) następujące oświadczenia: poczta e-mail, family_name, given_name.
    3. Wybierz Dodaj. Jeśli zostanie wyświetlony monit, wybierz pozycję Włącz wiadomość e-mail programu Microsoft Graph, uprawnienie profilu.

18. Przejdź do karty przeglądarki przy użyciu wystąpienia usługi API Management.

19. Wklej wpis tajny w polu Klucz tajny klienta w okienku Dodawanie dostawcy tożsamości.

    Ważne

    Zaktualizuj klucz tajny klienta przed wygaśnięciem klucza.

20. W okienku Dodawanie dzierżaw dostawcy tożsamości w polu Dozwolone dzierżawy określ domeny wystąpienia firmy Microsoft, do których chcesz udzielić dostępu do interfejsów API wystąpień usługi API Management.

    • Można oddzielić wiele domen nowymi liniami, spacjami lub przecinkami.

    Uwaga

    W sekcji Dozwolone dzierżawy można określić wiele domen. Administracja globalna musi udzielić aplikacji dostępu do danych katalogu, zanim użytkownicy będą mogli logować się z innej domeny niż oryginalna domena rejestracji aplikacji. Aby udzielić uprawnień, administrator globalny powinien:

    1. Przejdź do https://<URL of your developer portal>/aadadminconsent (na przykład https://contoso.portal.azure-api.net/aadadminconsent).
    2. Wprowadź nazwę domeny dzierżawy firmy Microsoft Entra, do której chce udzielić dostępu.
    3. Wybierz Prześlij.

21. Po określeniu żądanej konfiguracji wybierz pozycję Dodaj.

22. Opublikuj ponownie portal dla deweloperów, aby konfiguracja firmy Microsoft Entra weszła w życie. W menu po lewej stronie w obszarze Portal deweloperów wybierz pozycję Przegląd>portalu Publikuj.

Po włączeniu dostawcy microsoft Entra:

• Użytkownicy w określonym wystąpieniu firmy Microsoft Entra mogą zalogować się do portalu deweloperów przy użyciu konta Microsoft Entra.
• Konfigurację firmy Microsoft Entra można zarządzać na stronie Tożsamości portalu>dla deweloperów w portalu.
• Opcjonalnie skonfiguruj inne ustawienia logowania, wybierając pozycję Tożsamości> Ustawienia. Możesz na przykład przekierować użytkowników anonimowych na stronę logowania.
• Opublikuj ponownie portal deweloperów po każdej zmianie konfiguracji.

Migrowanie do biblioteki MSAL

Jeśli wcześniej skonfigurowano aplikację Microsoft Entra na potrzeby logowania użytkownika przy użyciu biblioteki ADAL, możesz użyć portalu, aby przeprowadzić migrację aplikacji do biblioteki MSAL i zaktualizować dostawcę tożsamości w usłudze API Management.

Aktualizowanie aplikacji Microsoft Entra pod kątem zgodności biblioteki MSAL

Aby uzyskać instrukcje, zobacz Przełączanie identyfikatorów URI przekierowania do typu aplikacji jednostronicowej.

Aktualizowanie konfiguracji dostawcy tożsamości

1. W menu po lewej stronie wystąpienia usługi API Management w obszarze Portal deweloperów wybierz pozycję Tożsamości.
2. Wybierz pozycję Microsoft Entra ID z listy.
3. Z listy rozwijanej Biblioteka klienta wybierz pozycję MSAL.
4. Wybierz Aktualizuj.
5. Opublikuj ponownie portal deweloperów.

Dodawanie zewnętrznej grupy microsoft Entra

Po włączeniu dostępu dla użytkowników w dzierżawie firmy Microsoft Entra możesz wykonywać następujące czynności:

• Dodaj grupy entra firmy Microsoft do usługi API Management.
• Kontrolowanie widoczności produktu przy użyciu grup firmy Microsoft Entra.

1. Przejdź do strony Rejestracja aplikacji dla aplikacji zarejestrowanej w poprzedniej sekcji.
2. Wybierz pozycję Uprawnienia interfejsu API.
3. Dodaj następujące minimalne uprawnienia aplikacji dla interfejsu MICROSOFT Graph API:
   • User.Read.All uprawnienia aplikacji — aby usługa API Management mogła odczytywać członkostwo w grupie użytkownika w celu przeprowadzania synchronizacji grup w czasie logowania użytkownika.
   • Group.Read.All uprawnienia aplikacji — aby usługa API Management mogła odczytywać grupy entra firmy Microsoft, gdy administrator próbuje dodać grupę do usługi API Management przy użyciu bloku Grupy w portalu.
4. Wybierz pozycję Udziel zgody administratora dla elementu {tenantname} , aby udzielić dostępu wszystkim użytkownikom w tym katalogu.

Teraz możesz dodać zewnętrzne grupy firmy Microsoft Entra na karcie Grupy wystąpienia usługi API Management.

1. W obszarze Portal deweloperów w menu bocznym wybierz pozycję Grupy.

2. Wybierz przycisk Dodaj grupę Microsoft Entra.

   

3. Wybierz dzierżawę z listy rozwijanej.

4. Wyszukaj i wybierz grupę, którą chcesz dodać.

5. Kliknij przycisk Select.

Po dodaniu zewnętrznej grupy microsoft Entra możesz przejrzeć i skonfigurować jej właściwości:

1. Wybierz nazwę grupy na karcie Grupy .
2. Edytuj informacje o nazwie i opisie grupy.

Użytkownicy ze skonfigurowanego wystąpienia firmy Microsoft Entra mogą teraz:

• Zaloguj się do portalu deweloperów.
• Wyświetlaj i subskrybuj wszystkie grupy, dla których mają widoczność.

Uwaga

Dowiedz się więcej na temat różnic między typami uprawnień delegowanych i aplikacji w artykule Uprawnienia i zgoda w artykule Platforma tożsamości Microsoft.

Synchronizowanie grup firmy Microsoft z usługą API Management

Grupy skonfigurowane w usłudze Microsoft Entra muszą być synchronizowane z usługą API Management, aby można było dodać je do wystąpienia. Jeśli grupy nie są synchronizowane automatycznie, wykonaj jedną z następujących czynności, aby ręcznie zsynchronizować informacje o grupie:

• Wyloguj się i zaloguj się do identyfikatora Entra firmy Microsoft. To działanie zwykle wyzwala synchronizację grup.
• Upewnij się, że dzierżawa logowania w usłudze Microsoft Entra jest określona w taki sam sposób (przy użyciu jednego z identyfikatorów dzierżawy lub nazwy domeny) w ustawieniach konfiguracji w usłudze API Management. Dzierżawa logowania jest określana w dostawcy tożsamości Entra firmy Microsoft dla portalu dla deweloperów, a po dodaniu grupy Microsoft Entra do usługi API Management.

Portal dla deweloperów: Dodawanie uwierzytelniania konta Microsoft Entra

W portalu dla deweloperów możesz zalogować się przy użyciu identyfikatora Entra firmy Microsoft przy użyciu przycisku Zaloguj: widżet OAuth dołączony na stronie logowania domyślnej zawartości portalu deweloperów.

Mimo że nowe konto zostanie utworzone automatycznie, gdy nowy użytkownik zaloguje się przy użyciu identyfikatora Entra firmy Microsoft, rozważ dodanie tego samego widżetu do strony rejestracji. Formularz rejestracji: widżet OAuth reprezentuje formularz używany do rejestrowania się w usłudze OAuth.

Ważne

Aby zmiany identyfikatora Entra firmy Microsoft zaczęły obowiązywać, należy ponownie opublikować portal .

Powiązana zawartość

• Dowiedz się więcej o identyfikatorze Entra firmy Microsoft i OAuth2.0.
• Dowiedz się więcej na temat biblioteki MSAL i migracji do biblioteki MSAL.
• Rozwiązywanie problemów z łącznością sieciową z programem Microsoft Graph z poziomu sieci wirtualnej.