Поделиться через


Как авторизовать учетные записи разработчиков с помощью Azure Active Directory B2C в службе управления API Azure

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовая версия 2 | Стандартный | Standard v2 | Премиум | Премиум версии 2

Azure Active Directory B2C — это облачное решение, позволяющее управлять удостоверениями в веб-приложениях и мобильных приложениях, с которыми взаимодействуют клиенты. Его можно использовать для управления доступом к порталу разработчика API Management.

В этом руководстве объясняется, как настроить службу управления API для интеграции с Azure Active Directory B2C.

Для получения общих сведений о вариантах защиты портала разработчика см. статью Безопасный доступ к порталу разработчика "Управление API".

Внимание

  • Эта статья была обновлена с инструкциями по настройке приложения Azure AD B2C с помощью библиотеки проверки подлинности Майкрософт (MSAL).
  • Если вы ранее настроили приложение Azure AD B2C для входа пользователя с помощью библиотеки аутентификация Azure AD (ADAL), рекомендуется выполнить миграцию в MSAL.

Необходимые компоненты

Настройка потока регистрации и входа пользователя

В этом разделе описана настройка потока пользователей в клиенте Azure Active Directory B2C, который позволяет пользователям зарегистрироваться или войти на портал разработчика. Пользователи проходят через соответствующую процедуру в зависимости от контекста. Подробные инструкции см. в статье о создании потоков пользователя и пользовательских политик в Azure Active Directory B2C.

  1. На портале Azure перейдите к своему клиенту Azure Active Directory B2C.
  2. В разделе Политики выберите Потоки пользователей>+ Создать поток пользователя.
  3. На странице Создание потока пользователя выберите поток пользователя Регистрация и вход. Выберите рекомендуемую версию и нажмите кнопку "Создать".
  4. На странице "Создание" укажите следующие сведения:
    1. Введите уникальное имя для потока пользователя.
    2. В разделе Поставщики удостоверений выберите Регистрация по электронной почте.
    3. При необходимости включите метод многофакторной проверки подлинности или политики условного доступа .
    4. В атрибутах пользователя и утверждениях маркера выберите следующие атрибуты и утверждения, которые необходимо собирать и отправлять от пользователя во время регистрации. Выберите "Показать больше", чтобы просмотреть все атрибуты и утверждения.
      • Сбор атрибутов: заданное имя, фамилия

      • Возвращаемые утверждения: заданное имя, фамилия, адреса электронной почты, идентификатор объекта пользователя

        Снимок экрана: атрибуты и утверждения на портале

  5. Нажмите кнопку создания.

Настройка поставщика удостоверений для портала разработчика

  1. На отдельной вкладке портала Azure перейдите к экземпляру API Management.

  2. На портале разработчика выберите Удостоверения>+ Добавить.

  3. На странице Добавление поставщика удостоверений выберите Azure Active Directory B2C. После выбора вы сможете ввести другие необходимые сведения,

    • В раскрывающемся списке Клиентской библиотеки выберите MSAL.
    • Дополнительные инструкции о добавлении других параметров см. далее в статье.
  4. В окне Добавление поставщика удостоверений скопируйте URL-адрес перенаправления.

    Снимок экрана: URL-адрес перенаправления на портале.

  5. Вернитесь на вкладку браузера для клиента Azure Active Directory B2C на портале Azure. Выберите Регистрация приложений>+ Новая регистрация.

  6. На странице Регистрация приложения введите сведения о регистрации приложения.

    • В разделе Имя введите соответствующее имя приложения.
    • В разделе "Поддерживаемые типы учетных записей" выберите "Учетные записи" в любом каталоге организации (для проверки подлинности пользователей с помощью потоков пользователей). Дополнительные сведения см. в разделе "Регистрация приложения".
    • В области URI перенаправления выберите Одностраничное приложение (SPA) и вставьте URL-адрес перенаправления, сохраненный на предыдущем шаге.
    • В разделе Разрешения выберите Предоставьте согласие администратора для разрешений openid и offline_access.
    • Выберите Зарегистрировать, чтобы создать приложение.

    Снимок экрана: регистрация нового приложения на портале.

  7. На странице приложения Обзор найдите идентификатор приложения (клиента) и скопируйте значение в буфер обмена.

    Снимок экрана: страница обзора на портале.

  8. Вернитесь на страницу Добавление поставщика удостоверений API Management и вставьте идентификатор в текстовое поле Идентификатор клиента.

  9. Вернитесь к разделу регистрации приложения B2C. Выберите Сертификаты и секреты>+ New client secret (+ Новый секрет клиента). Снимок экрана: создание секрета клиента на портале.

    • На странице Add a client secret (Добавление секрета клиента) введите Описание и выберите Добавить.
    • Запишите значение в безопасном расположении. Это значение секрета больше нигде не отображается после закрытия страницы.
  10. Вернитесь на страницу Добавление поставщика удостоверений API Management и вставьте ключ в текстовое поле Секрет клиента.

  11. Продолжая работу со страницей "Добавление поставщика удостоверений":

    • Укажите имя домена клиента Azure Active Directory B2C в поле Вход клиента.

    • Поле Центр позволяет управлять используемым URL-адресом входа в Azure AD B2C. Задайте для него значение <your_b2c_tenant_name>.b2clogin.com.

    • Укажите политику регистрации и политику входа, используя имя потока пользователя, созданного на предыдущем шаге.

    • Дополнительно укажите политику редактирования профиля и политику сброса пароля.

      Снимок экрана: конфигурация поставщика удостоверений Active Directory B2C на портале.

  12. После указания требуемой конфигурации выберите Добавить.

  13. Повторно опубликуйте портал разработчика, чтобы конфигурация Azure AD B2C вступила в силу. В меню слева в разделе Портал разработчика щелкните Обзор портала>Опубликовать.

После сохранения изменений разработчики смогут зарегистрироваться для новых учетных записей и войти на портал разработчика с помощью Azure Active Directory B2C.

Миграция в MSAL

Если вы ранее настроили приложение Azure AD B2C для входа пользователя с помощью ADAL, вы можете использовать портал для миграции приложения в MSAL и обновления поставщика удостоверений в API Management.

Обновление приложения Azure AD B2C для совместимости с MSAL

Инструкции по обновлению приложения Azure AD B2C см. в разделе URI перенаправления переключения на тип одностраничного приложения.

Обновление конфигурации поставщика удостоверений

  1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Удостоверения.
  2. Выберите Azure Active Directory B2C в меню.
  3. В раскрывающемся списке Клиентской библиотеки выберите MSAL.
  4. Выберите Обновить.
  5. Повторно опубликуйте портал разработчика.

Портал разработчика: добавление проверки подлинности учетной записи Azure AD B2C

Внимание

Необходимо повторно опубликовать портал разработчика при создании или обновлении параметров конфигурации Azure Active Directory B2C, чтобы изменения вступили в силу.

На портале разработчика можно выполнять вход, используя Azure AD B2C, с помощью виджета Кнопка входа: OAuth. Этот виджет уже включен на странице доступа к содержимому портала разработчика по умолчанию.

  1. Чтобы войти с помощью Azure Active Directory B2C, откройте новое окно браузера и перейдите на портал разработчика. Выберите Вход.

  2. На странице Вход выберите Azure Active Directory B2C.

    Снимок экрана: вход на портал разработчика.

  3. Вы будете перенаправлены к политике регистрации, настроенной в предыдущем разделе. Выберите регистрацию с помощью адреса электронной почты в клиенте Active Directory B2C.

После завершения регистрации вы будете перенаправлены обратно на портал разработчика. Теперь вы вошли на портал разработчика вашего экземпляра службы управления API.

Вход на портал разработчика завершен

Несмотря на то что каждый раз, когда новый пользователь будет входить с помощью Azure AD B2C, будет автоматически создаваться новая учетная запись, рекомендуется добавить этот виджет на страницу регистрации.

Виджет Форма регистрации: OAuth представляет форму для регистрации с помощью OAuth.