Autoryzowanie kont deweloperów przy użyciu identyfikatora Microsoft Entra w usłudze Azure API Management
DOTYCZY: Developer | Podstawowa wersja 2 | Standardowa | Standardowa, wersja 2 | Premium | Premium, wersja 2
Ten artykuł obejmuje następujące zagadnienia:
- Włącz dostęp do portalu deweloperów dla użytkowników z witryny Microsoft Entra ID.
- Zarządzaj grupami użytkowników firmy Microsoft Entra, dodając grupy zewnętrzne zawierające użytkowników.
Aby zapoznać się z omówieniem opcji zabezpieczania portalu deweloperów, zobacz Bezpieczny dostęp do portalu deweloperów usługi API Management.
Ważne
- Ten artykuł został zaktualizowany o kroki konfigurowania aplikacji Microsoft Entra przy użyciu biblioteki Microsoft Authentication Library (MSAL).
- Jeśli wcześniej skonfigurowano aplikację Microsoft Entra na potrzeby logowania użytkownika przy użyciu biblioteki Azure AD Authentication Library (ADAL), zalecamy przeprowadzenie migracji do biblioteki MSAL.
Wymagania wstępne
Ukończ przewodnik Szybki start Tworzenie wystąpienia usługi Azure API Management.
Importowanie i publikowanie interfejsu API w wystąpieniu usługi Azure API Management.
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
Przechodzenie do wystąpienia usługi API Management
W witrynie Azure Portal wyszukaj i wybierz pozycję Usługi API Management.
Na stronie Usługi API Management wybierz wystąpienie usługi API Management.
Włączanie logowania użytkownika przy użyciu identyfikatora Entra firmy Microsoft — portal
Aby uprościć konfigurację, usługa API Management może automatycznie włączyć aplikację i dostawcę tożsamości firmy Microsoft dla użytkowników portalu deweloperów. Alternatywnie możesz ręcznie włączyć aplikację Microsoft Entra i dostawcę tożsamości.
Automatyczne włączanie aplikacji Microsoft Entra i dostawcy tożsamości
W menu po lewej stronie wystąpienia usługi API Management w obszarze Portal dla deweloperów wybierz pozycję Przegląd portalu.
Na stronie przeglądu portalu przewiń w dół do pozycji Włącz logowanie użytkownika przy użyciu identyfikatora Entra firmy Microsoft.
Wybierz pozycję Włącz identyfikator entra firmy Microsoft.
Na stronie Enable Microsoft Entra ID (Włącz identyfikator entra firmy Microsoft) wybierz pozycję Enable Microsoft Entra ID (Włącz identyfikator entra firmy Microsoft).
Wybierz Zamknij.
Po włączeniu dostawcy microsoft Entra:
- Użytkownicy w określonym wystąpieniu firmy Microsoft Entra mogą zalogować się do portalu deweloperów przy użyciu konta Microsoft Entra.
- Konfigurację firmy Microsoft Entra można zarządzać na stronie Tożsamości portalu>dla deweloperów w portalu.
- Opcjonalnie skonfiguruj inne ustawienia logowania, wybierając pozycję Ustawienia tożsamości>. Możesz na przykład przekierować użytkowników anonimowych na stronę logowania.
- Opublikuj ponownie portal deweloperów po każdej zmianie konfiguracji.
Ręczne włączanie aplikacji Microsoft Entra i dostawcy tożsamości
W menu po lewej stronie wystąpienia usługi API Management w obszarze Portal deweloperów wybierz pozycję Tożsamości.
Wybierz pozycję +Dodaj u góry, aby otworzyć okienko Dodaj dostawcę tożsamości po prawej stronie.
W obszarze Typ wybierz pozycję Microsoft Entra ID z menu rozwijanego. Po wybraniu tej opcji będzie można wprowadzić inne niezbędne informacje.
- Z listy rozwijanej Biblioteka klienta wybierz pozycję MSAL.
- Aby dodać identyfikator klienta i klucz tajny klienta, zobacz kroki opisane w dalszej części artykułu.
Zapisz adres URL przekierowania na później.
W przeglądarce otwórz witrynę Azure Portal na nowej karcie.
Przejdź do Rejestracje aplikacji, aby zarejestrować aplikację w usłudze Active Directory.
Wybierz opcjęNowa rejestracja. Na stronie Rejestrowanie aplikacji ustaw następujące wartości:
- Ustaw nazwę na zrozumiałą nazwę, taką jak developer-portal
- Ustaw wartość Obsługiwane typy kont na Konta w dowolnym katalogu organizacyjnym.
- W polu Identyfikator URI przekierowania wybierz pozycję Aplikacja jednostronicowa (SPA) i wklej adres URL przekierowania zapisany w poprzednim kroku.
- Wybierz pozycję Zarejestruj.
Po zarejestrowaniu aplikacji skopiuj identyfikator aplikacji (klienta) ze strony Przegląd .
Przejdź do karty przeglądarki przy użyciu wystąpienia usługi API Management.
W oknie Dodawanie dostawcy tożsamości wklej wartość Identyfikator aplikacji (klienta) w polu Identyfikator klienta.
Przejdź do karty przeglądarki z rejestracją aplikacji.
Wybierz odpowiednią rejestrację aplikacji.
W sekcji Zarządzanie menu bocznego wybierz pozycję Certyfikaty i wpisy tajne.
Na stronie Certyfikaty i wpisy tajne wybierz przycisk Nowy klucz tajny klienta w obszarze Wpisy tajne klienta.
- Wprowadź opis.
- Wybierz dowolną opcję wygasania.
- Wybierz opcję Dodaj.
Skopiuj wartość klucza tajnego klienta przed opuszczeniem strony. Będzie potrzebny później.
W obszarze Zarządzaj w menu bocznym wybierz pozycję Konfiguracja> tokenu+ Dodaj opcjonalne oświadczenie.
- W polu Typ tokenu wybierz pozycję Identyfikator.
- Wybierz (sprawdź) następujące oświadczenia: poczta e-mail, family_name, given_name.
- Wybierz Dodaj. Jeśli zostanie wyświetlony monit, wybierz pozycję Włącz wiadomość e-mail programu Microsoft Graph, uprawnienie profilu.
Przejdź do karty przeglądarki przy użyciu wystąpienia usługi API Management.
Wklej wpis tajny w polu Klucz tajny klienta w okienku Dodawanie dostawcy tożsamości.
Ważne
Zaktualizuj klucz tajny klienta przed wygaśnięciem klucza.
W obszarze Dzierżawa logowania określ nazwę dzierżawy lub identyfikator, który ma być używany do logowania się do firmy Microsoft Entra. Jeśli nie określono żadnej wartości, używany jest wspólny punkt końcowy.
W obszarze Dozwolone dzierżawy dodaj określone nazwy dzierżawy firmy Microsoft Entra lub identyfikatory logowania do firmy Microsoft Entra.
Po określeniu żądanej konfiguracji wybierz pozycję Dodaj.
Opublikuj ponownie portal dla deweloperów, aby konfiguracja firmy Microsoft Entra weszła w życie. W menu po lewej stronie w obszarze Portal deweloperów wybierz pozycję Przegląd>portalu Publikuj.
Po włączeniu dostawcy microsoft Entra:
- Użytkownicy w określonych dzierżawach firmy Microsoft mogą logować się do portalu dla deweloperów przy użyciu konta Microsoft Entra.
- Konfigurację firmy Microsoft Entra można zarządzać na stronie Tożsamości portalu>dla deweloperów w portalu.
- Opcjonalnie skonfiguruj inne ustawienia logowania, wybierając pozycję Ustawienia tożsamości>. Możesz na przykład przekierować użytkowników anonimowych na stronę logowania.
- Opublikuj ponownie portal deweloperów po każdej zmianie konfiguracji.
Migrowanie do biblioteki MSAL
Jeśli wcześniej skonfigurowano aplikację Microsoft Entra na potrzeby logowania użytkownika przy użyciu biblioteki ADAL, możesz użyć portalu, aby przeprowadzić migrację aplikacji do biblioteki MSAL i zaktualizować dostawcę tożsamości w usłudze API Management.
Aktualizowanie aplikacji Microsoft Entra pod kątem zgodności biblioteki MSAL
Aby uzyskać instrukcje, zobacz Przełączanie identyfikatorów URI przekierowania do typu aplikacji jednostronicowej.
Aktualizowanie konfiguracji dostawcy tożsamości
- W menu po lewej stronie wystąpienia usługi API Management w obszarze Portal deweloperów wybierz pozycję Tożsamości.
- Wybierz pozycję Microsoft Entra ID z listy.
- Z listy rozwijanej Biblioteka klienta wybierz pozycję MSAL.
- Wybierz Aktualizuj.
- Opublikuj ponownie portal deweloperów.
Dodawanie zewnętrznej grupy microsoft Entra
Po włączeniu dostępu dla użytkowników w dzierżawie firmy Microsoft Entra możesz wykonywać następujące czynności:
- Dodaj grupy entra firmy Microsoft do usługi API Management. Dodane grupy muszą znajdować się w dzierżawie, w której jest wdrażane wystąpienie usługi API Management.
- Kontrolowanie widoczności produktu przy użyciu grup firmy Microsoft Entra.
- Przejdź do strony Rejestracja aplikacji dla aplikacji zarejestrowanej w poprzedniej sekcji.
- Wybierz pozycję Uprawnienia interfejsu API.
- Dodaj następujące minimalne uprawnienia aplikacji dla interfejsu MICROSOFT Graph API:
User.Read.All
uprawnienia aplikacji — aby usługa API Management mogła odczytywać członkostwo w grupie użytkownika w celu przeprowadzania synchronizacji grup w czasie logowania użytkownika.Group.Read.All
uprawnienia aplikacji — aby usługa API Management mogła odczytywać grupy entra firmy Microsoft, gdy administrator próbuje dodać grupę do usługi API Management przy użyciu bloku Grupy w portalu.
- Wybierz pozycję Udziel zgody administratora dla elementu {tenantname} , aby udzielić dostępu wszystkim użytkownikom w tym katalogu.
Teraz możesz dodać zewnętrzne grupy firmy Microsoft Entra na karcie Grupy wystąpienia usługi API Management.
W obszarze Portal deweloperów w menu bocznym wybierz pozycję Grupy.
Wybierz przycisk Dodaj grupę Microsoft Entra.
Wybierz dzierżawę z listy rozwijanej.
Wyszukaj i wybierz grupę, którą chcesz dodać.
Kliknij przycisk Select.
Po dodaniu zewnętrznej grupy microsoft Entra możesz przejrzeć i skonfigurować jej właściwości:
- Wybierz nazwę grupy na karcie Grupy .
- Edytuj informacje o nazwie i opisie grupy.
Użytkownicy ze skonfigurowanego wystąpienia firmy Microsoft Entra mogą teraz:
- Zaloguj się do portalu deweloperów.
- Wyświetlaj i subskrybuj wszystkie grupy, dla których mają widoczność.
Uwaga
Dowiedz się więcej na temat różnic między typami uprawnień delegowanych i aplikacji w artykule Uprawnienia i zgoda w artykule Platforma tożsamości Microsoft.
Synchronizowanie grup firmy Microsoft z usługą API Management
Grupy skonfigurowane w usłudze Microsoft Entra muszą być synchronizowane z usługą API Management, aby można było dodać je do wystąpienia. Jeśli grupy nie są synchronizowane automatycznie, wykonaj jedną z następujących czynności, aby ręcznie zsynchronizować informacje o grupie:
- Wyloguj się i zaloguj się do identyfikatora Entra firmy Microsoft. To działanie zwykle wyzwala synchronizację grup.
- Upewnij się, że dzierżawa logowania w usłudze Microsoft Entra jest określona w taki sam sposób (przy użyciu jednego z identyfikatorów dzierżawy lub nazwy domeny) w ustawieniach konfiguracji w usłudze API Management. Dzierżawa logowania jest określana w dostawcy tożsamości Entra firmy Microsoft dla portalu dla deweloperów, a po dodaniu grupy Microsoft Entra do usługi API Management.
Portal dla deweloperów: Dodawanie uwierzytelniania konta Microsoft Entra
W portalu dla deweloperów możesz zalogować się przy użyciu identyfikatora Entra firmy Microsoft przy użyciu przycisku Zaloguj: widżet OAuth dołączony na stronie logowania domyślnej zawartości portalu deweloperów.
Mimo że nowe konto zostanie utworzone automatycznie, gdy nowy użytkownik zaloguje się przy użyciu identyfikatora Entra firmy Microsoft, rozważ dodanie tego samego widżetu do strony rejestracji. Formularz rejestracji: widżet OAuth reprezentuje formularz używany do rejestrowania się w usłudze OAuth.
Ważne
Aby zmiany identyfikatora Entra firmy Microsoft zaczęły obowiązywać, należy ponownie opublikować portal .
Powiązana zawartość
- Dowiedz się więcej o identyfikatorze Entra firmy Microsoft i OAuth2.0.
- Dowiedz się więcej na temat biblioteki MSAL i migracji do biblioteki MSAL.
- Rozwiązywanie problemów z łącznością sieciową z programem Microsoft Graph z poziomu sieci wirtualnej.