Autorización de cuentas de desarrollador mediante Microsoft Entra ID en Azure API Management
SE APLICA A: Developer | Basic v2 | Estándar | Standard v2 | Premium |Premium v2
En este artículo, aprenderá a:
- Habilite el acceso al portal para desarrolladores para los usuarios desde Microsoft Entra ID.
- Administre grupos de usuarios de Microsoft Entra agregando grupos externos que contienen los usuarios.
Para obtener información general sobre las opciones para proteger el portal para desarrolladores, consulte Acceso seguro al portal para desarrolladores de API Management.
Importante
- Este artículo se ha actualizado con los pasos necesarios para configurar una aplicación de Microsoft Entra mediante la Biblioteca de autenticación de Microsoft (MSAL).
- Si anteriormente configuró una aplicación de Microsoft Entra para el inicio de sesión de usuario mediante la Biblioteca de autenticación de Azure AD (ADAL), se recomienda migrar a MSAL.
Requisitos previos
Complete el inicio rápido Creación de una instancia de Azure API Management.
Importe y publique una API en la instancia de API Management de Azure.
Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.
Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.
Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.
En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.
Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.
Vaya a la instancia de API Management.
En Azure Portal, busque y seleccione Servicios de API Management.
En la página de servicios API Management, seleccione la instancia de API Management.
Habilitación del inicio de sesión de usuario mediante Microsoft Entra ID: portal
Para simplificar la configuración, API Management puede habilitar automáticamente una aplicación de Microsoft Entra y un proveedor de identidades para los usuarios del portal para desarrolladores. Como alternativa, puede habilitar manualmente la aplicación Microsoft Entra y el proveedor de identidades.
Habilitar automáticamente la aplicación y el proveedor de identidades de Microsoft Entra
En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Información general del portal.
En la página de información general del portal, desplácese hacia abajo hasta Habilitar inicio de sesión de usuario con Microsoft Entra ID.
Seleccione Habilitar Microsoft Entra ID.
En la página Habilitar Microsoft Entra ID, seleccione Habilitar Microsoft Entra ID.
Seleccione Close (Cerrar).
Una vez habilitado el proveedor de Microsoft Entra:
- Los usuarios de la instancia de Microsoft Entra especificada pueden iniciar sesión en el portal para desarrolladores mediante una cuenta de Microsoft Entra.
- Puede administrar la configuración de Microsoft Entra en el portal para desarrolladores>página identidades en el portal.
- Opcionalmente, configure otras opciones de inicio de sesión seleccionando Identidades>Configuración. Por ejemplo, puede que desee redirigir a los usuarios anónimos a la página de inicio de sesión.
- Vuelva a publicar el portal para desarrolladores después de cualquier cambio de configuración.
Habilitar manualmente la aplicación y el proveedor de identidades de Microsoft Entra
En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Identidades.
Seleccione +Agregar en la parte superior para abrir el panel Agregar proveedor de identidades a la derecha.
En Type, seleccione Microsoft Entra ID en el menú desplegable. Una vez seleccionado, podrá especificar otra información necesaria,
- En la lista desplegable Biblioteca cliente, seleccione MSAL.
- Para agregar el identificador de cliente y el secreto de cliente, consulte los pasos que se indican más adelante en el artículo.
Guarde la URL de redireccionamiento para más adelante.
En el explorador, abra Azure Portal en una nueva pestaña.
Navegue hasta Registros de aplicaciones para registrar una aplicación en Active Directory.
Seleccione Nuevo registro. En la página Registrar una aplicación, establezca los valores de la manera siguiente:
- Establezca el valor Name con un nombre descriptivo, como developer-portal
- Cambie los Tipos de cuenta compatibles a Cuentas en cualquier directorio organizativo.
- En URI de redirección, seleccione Aplicación de página única (SPA) y pegue la dirección URL de redireccionamiento que guardó en un paso anterior.
- Seleccione Registrar.
Una vez registrada la aplicación, copie el Id. de aplicación (cliente) de la página Información general.
Cambie a la pestaña del explorador con su instancia de API Management.
En la ventana Agregar proveedor de identidades, pegue el valor de Id. de aplicación (cliente) en el cuadro Id. de cliente.
Cambie a la pestaña del explorador con el registro de aplicación.
Seleccione el registro de aplicación correspondiente.
En la sección Administrar del menú lateral, seleccione Certificados y secretos.
En la página Certificados y secretos, seleccione el botón Nuevo secreto de cliente en Secretos de cliente.
- Escriba una Descripción.
- Seleccione cualquier opción para Expiración.
- Seleccione Agregar.
Copie el valor del secreto del cliente antes de salir de la página. Lo necesitará más adelante.
En Administrar, en el menú lateral, seleccione Configuración de token>+ Agregar notificación opcional.
- En Tipo de token, seleccione ID.
- Seleccione (compruebe) las siguientes notificaciones: email, family_name, given_name.
- Seleccione Agregar. Si se le solicita, seleccione Activar el correo electrónico y el permiso de perfil de Microsoft Graph.
Cambie a la pestaña del explorador con su instancia de API Management.
Pegue el secreto en el campo Secreto de cliente del panel Agregar proveedor de identidades.
Importante
Actualice el secreto de cliente antes de que expire la clave.
En Inquilino de inicio de sesión, especifique un nombre o identificador de inquilino que se usará para el inicio de sesión en Microsoft Entra. Si no se especifica ningún valor, se usa el punto de conexión común.
En Inquilinos permitidos, agregue nombres o identificadores de inquilino específicos de Microsoft Entra para el inicio de sesión en Microsoft Entra.
Después de especificar la configuración deseada, seleccione Agregar.
Vuelva a publicar el portal para desarrolladores para que la configuración de Microsoft Entra surta efecto. En el menú de la izquierda, en Portal para desarrolladores, seleccione Información general del portal>Publicar.
Una vez habilitado el proveedor de Microsoft Entra:
- Los usuarios de los inquilinos de Microsoft Entra especificados pueden iniciar sesión en el portal para desarrolladores mediante una cuenta de Microsoft Entra.
- Puede administrar la configuración de Microsoft Entra en el portal para desarrolladores>página identidades en el portal.
- Opcionalmente, configure otras opciones de inicio de sesión seleccionando Identidades>Configuración. Por ejemplo, puede que desee redirigir a los usuarios anónimos a la página de inicio de sesión.
- Vuelva a publicar el portal para desarrolladores después de cualquier cambio de configuración.
Migración a MSAL
Si anteriormente configuró una aplicación de Microsoft Entra para el inicio de sesión de usuario mediante ADAL, puede usar el portal para migrar la aplicación a MSAL y actualizar el proveedor de identidades en API Management.
Actualización de la aplicación Microsoft Entra para la compatibilidad con MSAL
Para ver los pasos, consulte Cambio de URI de redirección al tipo de aplicación de página única.
Actualización de la configuración del proveedor de identidades
- En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Identidades.
- Seleccione Microsoft Entra ID en la lista.
- En la lista desplegable Biblioteca cliente, seleccione MSAL.
- Seleccione Actualizar.
- Vuelva a publicar el portal para desarrolladores.
Agregar un grupo externo de Microsoft Entra
Ahora que ha habilitado el acceso para los usuarios de un inquilino de Microsoft Entra, puede hacer lo siguiente:
- Agregue grupos de Microsoft Entra a API Management. Los grupos agregados deben estar en el inquilino donde se implementa la instancia de API Management.
- Controlar la visibilidad del producto mediante grupos de Microsoft Entra.
- Vaya a la página Registro de aplicaciones de la aplicación que registró en la sección anterior.
- Seleccione Permisos de API.
- Agregue los siguientes permisos mínimos de aplicación para Microsoft Graph API:
- Permiso de aplicación
User.Read.All
: API Management puede leer la pertenencia al grupo del usuario para realizar la sincronización de grupos en el momento en que el usuario inicia sesión. Group.Read.All
permiso de aplicación para que API Management pueda leer los grupos de Microsoft Entra cuando un administrador intenta agregar el grupo a API Management mediante la hoja Grupos en el portal.
- Permiso de aplicación
- Seleccione Conceder consentimiento del administrador para {tenantname} con el fin de conceder acceso a todos los usuarios de este directorio.
Ahora los grupos externos de Microsoft Entra se pueden agregan desde la pestaña Grupos de la instancia de API Management.
En la sección Portal para desarrolladores del menú lateral, seleccione Grupos.
Seleccione el botón Agregar grupo de Microsoft Entra.
Seleccione Inquilino en el menú desplegable.
Busque y seleccione el grupo que quiera agregar.
Presione el botón Select (Seleccionar).
Una vez que agregue un grupo externo de Microsoft Entra, puede revisar y configurar sus propiedades:
- Seleccione el nombre del grupo en la pestaña Groups (Grupos).
- Edite la información de Nombre y Descripción del grupo.
Los usuarios de la instancia de Microsoft Entra configurada ahora pueden:
- Iniciar sesión en el portal para desarrolladores.
- Ver los grupos para los que tengan visibilidad y suscribirse a ellos.
Nota
Para obtener más información sobre la diferencia entre los tipos de permiso delegado y de aplicación, consulte el artículo Permisos y consentimiento en la Plataforma de identidad de Microsoft.
Sincronice grupos de Microsoft Entra con API Management
Los grupos configurados en Microsoft Entra deben sincronizarse con API Management para poder agregarlos a la instancia. Si los grupos no se sincronizan automáticamente, realice una de las siguientes acciones para sincronizar manualmente la información del grupo:
- Cierre sesión e inicie sesión en Microsoft Entra ID. Esta actividad normalmente desencadena la sincronización de grupos.
- Asegúrese de que el inquilino de inicio de sesión de Microsoft Entra se especifica de la misma manera (mediante un identificador de inquilino o un nombre de dominio) en las opciones de configuración de API Management. Especifique el inquilino de inicio de sesión en el proveedor de identidades de Id. de Microsoft Entra para el portal para desarrolladores y al agregar un grupo de Microsoft Entra a API Management.
Portal para desarrolladores: Agregar autenticación de cuenta de Microsoft Entra
En el portal para desarrolladores, puede iniciar sesión con Microsoft Entra ID mediante el botón de inicio de sesión: OAuth widget incluido en la página de inicio de sesión del contenido predeterminado del portal para desarrolladores.
Aunque se creará automáticamente una nueva cuenta cuando un nuevo usuario inicie sesión con Microsoft Entra ID, considere la posibilidad de agregar el mismo widget a la página de registro. El widget Sign-up form: OAuth (Formulario de inicio de sesión: OAuth) representa un formulario que se utiliza para registrarse con OAuth.
Importante
Debe volver a publicar el portal para que los cambios en Microsoft Entra ID surtan efecto.
Contenido relacionado
- Obtenga más información sobre Microsoft Entra ID y OAuth2.0.
- Obtenga más información sobre MSAL y la migración a MSAL.
- Para solucionar problemas de conexión a Microsoft Graph desde dentro de una red virtual.