Autorizace vývojářských účtů pomocí Microsoft Entra ID ve službě Azure API Management
PLATÍ PRO: Vývojář | Basic v2 | Standardní | Standard v2 | Prémie
V tomto článku se naučíte:
- Povolte přístup k portálu pro vývojáře pro uživatele z ID Microsoft Entra.
- Umožňuje spravovat skupiny uživatelů Microsoft Entra přidáním externích skupin, které obsahují uživatele.
Přehled možností zabezpečení portálu pro vývojáře najdete v tématu Zabezpečený přístup k API Management portálu pro vývojáře.
Důležité
- Tento článek byl aktualizován postupem konfigurace aplikace Microsoft Entra pomocí knihovny Microsoft Authentication Library (MSAL).
- Pokud jste dříve nakonfigurovali aplikaci Microsoft Entra pro přihlašování uživatelů pomocí knihovny Azure AD Authentication Library (ADAL), doporučujeme migrovat na knihovnu MSAL.
Požadavky
Dokončete rychlý start k vytvoření instance služby Azure API Management.
Importujte a publikujte rozhraní API v instanci služby Azure API Management.
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Přejít k instanci služby API Management
Na webu Azure Portal vyhledejte a vyberte služby API Management.
Na stránce služby API Management vyberte instanci služby API Management.
Povolení přihlašování uživatelů pomocí Microsoft Entra ID – portál
Kvůli zjednodušení konfigurace může API Management automaticky povolit aplikaci Microsoft Entra a zprostředkovatele identity pro uživatele portálu pro vývojáře. Alternativně můžete ručně povolit aplikaci Microsoft Entra a zprostředkovatele identity.
Automatické povolení aplikace Microsoft Entra a zprostředkovatele identity
V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Přehled portálu.
Na stránce přehledu portálu přejděte dolů a povolte přihlášení uživatele pomocí Microsoft Entra ID.
Vyberte Povolit ID Microsoft Entra.
Na stránce Povolit ID Microsoft Entra vyberte Povolit ID Microsoft Entra.
Vyberte Zavřít.
Po povolení poskytovatele Microsoft Entra:
- Uživatelé v zadané instanci Microsoft Entra se mohou přihlásit k portálu pro vývojáře pomocí účtu Microsoft Entra.
- Konfiguraci Microsoft Entra můžete spravovat na stránce Identities portálu>pro vývojáře na portálu.
- Volitelně můžete nakonfigurovat další nastavení přihlašování tak, že vyberete Nastavení identit>. Můžete například chtít přesměrovat anonymní uživatele na přihlašovací stránku.
- Po jakékoli změně konfigurace znovu publikujte portál pro vývojáře.
Ruční povolení aplikace Microsoft Entra a zprostředkovatele identity
V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Identity.
Výběrem +Přidat v horní části otevřete podokno Přidat zprostředkovatele identity napravo.
V části Typ vyberte z rozevírací nabídky Microsoft Entra ID . Po výběru budete moct zadat další potřebné informace.
- V rozevíracím seznamu Klientská knihovna vyberte MSAL.
- Pokud chcete přidat ID klienta a tajný klíč klienta, přečtěte si kroky dále v článku.
Uložte adresu URL pro přesměrování pro pozdější použití.
V prohlížeči otevřete web Azure Portal na nové kartě.
Přejděte na Registrace aplikací a zaregistrujte aplikaci ve službě Active Directory.
Vyberte Nová registrace. Na stránce Zaregistrovat aplikaci nastavte hodnoty následujícím způsobem:
- Nastavit název na smysluplný název, například vývojář-portál
- Nastavte podporované typy účtů na Účty v libovolném adresáři organizace.
- V identifikátoru URI přesměrování vyberte jednostránkové aplikace (SPA) a vložte adresu URL pro přesměrování, kterou jste uložili v předchozím kroku.
- Vyberte Zaregistrovat.
Po registraci aplikace zkopírujte ID aplikace (klienta) ze stránky Přehled .
Přepněte na kartu prohlížeče s vaší instancí služby API Management.
V okně Přidat zprostředkovatele identity vložte hodnotu ID aplikace (klienta) do pole ID klienta.
Přepněte na kartu prohlížeče s registrací aplikace.
Vyberte příslušnou registraci aplikace.
V části Správa boční nabídky vyberte Certifikáty a tajné kódy.
Na stránce Certifikáty a tajné kódy vyberte v části Tajné kódy klienta tlačítko Nový tajný kód klienta.
- Zadejte popis.
- Vyberte libovolnou možnost vypršení platnosti.
- Zvolte položku Přidat.
Před opuštěním stránky zkopírujte hodnotu tajného klíče klienta. Budete ho potřebovat později.
V části Spravovat v boční nabídce vyberte Konfigurace> tokenu + Přidat volitelnou deklaraci identity.
- V typu tokenu vyberte ID.
- Vyberte (zaškrtněte) následující deklarace identity: e-mail, family_name, given_name.
- Vyberte Přidat. Pokud se zobrazí výzva, vyberte Zapnout e-mail Microsoft Graphu, oprávnění profilu.
Přepněte na kartu prohlížeče s vaší instancí služby API Management.
Vložte tajný klíč do pole Tajný kód klienta v podokně Přidat zprostředkovatele identity.
Důležité
Před vypršením platnosti klíče aktualizujte tajný klíč klienta.
V tenantovi Signin zadejte název tenanta nebo ID, které se má použít pro přihlášení k Microsoft Entra. Pokud není zadaná žádná hodnota, použije se společný koncový bod.
V povolených tenantech přidejte ke službě Microsoft Entra konkrétní názvy nebo ID tenantů Microsoft Entra pro přihlášení.
Po zadání požadované konfigurace vyberte Přidat.
Znovu publikujte portál pro vývojáře, aby se projevila konfigurace Microsoft Entra. V nabídce vlevo v části Portál pro vývojáře vyberte Možnost Publikovat přehled>portálu.
Po povolení poskytovatele Microsoft Entra:
- Uživatelé v zadaných tenantech Microsoft Entra se mohou přihlásit k portálu pro vývojáře pomocí účtu Microsoft Entra.
- Konfiguraci Microsoft Entra můžete spravovat na stránce Identities portálu>pro vývojáře na portálu.
- Volitelně můžete nakonfigurovat další nastavení přihlašování tak, že vyberete Nastavení identit>. Můžete například chtít přesměrovat anonymní uživatele na přihlašovací stránku.
- Po jakékoli změně konfigurace znovu publikujte portál pro vývojáře.
Migrace na MSAL
Pokud jste dříve nakonfigurovali aplikaci Microsoft Entra pro přihlašování uživatelů pomocí knihovny ADAL, můžete pomocí portálu migrovat aplikaci do KNIHOVNY MSAL a aktualizovat zprostředkovatele identity ve službě API Management.
Aktualizace aplikace Microsoft Entra pro zajištění kompatibility MSAL
Postup najdete v tématu Přepnutí identifikátorů URI přesměrování na typ jednostrákové aplikace.
Aktualizace konfigurace zprostředkovatele identity
- V levé nabídce instance služby API Management v části Portál pro vývojáře vyberte Identity.
- V seznamu vyberte ID Microsoft Entra.
- V rozevíracím seznamu Klientská knihovna vyberte MSAL.
- Vyberte Aktualizovat.
- Znovu publikujte portál pro vývojáře.
Přidání externí skupiny Microsoft Entra
Teď, když jste povolili přístup pro uživatele v tenantovi Microsoft Entra, můžete:
- Přidejte do služby API Management skupiny Microsoft Entra. Přidané skupiny musí být v tenantovi, ve kterém je nasazená vaše instance služby API Management.
- Řízení viditelnosti produktů pomocí skupin Microsoft Entra
- Přejděte na stránku Registrace aplikace pro aplikaci, kterou jste zaregistrovali v předchozí části.
- Vyberte oprávnění rozhraní API.
- Přidejte následující minimální oprávnění aplikace pro rozhraní Microsoft Graph API:
User.Read.Alloprávnění aplikace – aby služba API Management mohl číst členství uživatele ve skupině a provádět synchronizaci skupin v době, kdy se uživatel přihlásí.Group.Read.Alloprávnění aplikace – aby služba API Management četla skupiny Microsoft Entra, když se správce pokusí přidat skupinu do služby API Management pomocí okna Skupiny na portálu.
- Vyberte Udělit souhlas správce pro uživatele {tenantname} , abyste udělili přístup všem uživatelům v tomto adresáři.
Teď můžete přidat externí skupiny Microsoft Entra z karty Skupiny vaší instance služby API Management.
V části Portál pro vývojáře v boční nabídce vyberte Skupiny.
Vyberte tlačítko Přidat skupinu Microsoft Entra.
V rozevíracím seznamu vyberte tenanta.
Vyhledejte a vyberte skupinu, kterou chcete přidat.
Stiskněte tlačítko Vybrat.
Po přidání externí skupiny Microsoft Entra můžete zkontrolovat a nakonfigurovat její vlastnosti:
- Na kartě Skupiny vyberte název skupiny.
- Upravit informace o názvu a popisu skupiny
Uživatelé z nakonfigurované instance Microsoft Entra teď můžou:
- Přihlaste se k portálu pro vývojáře.
- Zobrazte a přihlaste se k odběru všech skupin, pro které mají viditelnost.
Poznámka:
Další informace o rozdílu mezi typy delegovaných oprávnění a oprávněními aplikace najdete v článku o oprávněních a souhlasu v článku o platformě Microsoft Identity Platform .
Synchronizace skupin Microsoft Entra se službou API Management
Skupiny nakonfigurované v Microsoft Entra se musí synchronizovat se službou API Management, abyste je mohli přidat do své instance. Pokud se skupiny nesynchronizují automaticky, proveďte jednu z následujících věcí, abyste informace o skupině synchronizovali ručně:
- Odhlaste se a přihlaste se k MICROSOFT Entra ID. Tato aktivita obvykle aktivuje synchronizaci skupin.
- Ujistěte se, že je přihlašovací tenant Microsoft Entra zadaný stejným způsobem (pomocí jednoho z ID tenanta nebo názvu domény) v nastavení konfigurace ve službě API Management. Přihlašovacího tenanta zadáte ve zprostředkovateli identity Microsoft Entra ID pro portál pro vývojáře a když do služby API Management přidáte skupinu Microsoft Entra.
Portál pro vývojáře: Přidání ověřování účtu Microsoft Entra
Na portálu pro vývojáře se můžete přihlásit pomocí ID Microsoft Entra pomocí tlačítka Pro přihlášení: Widget OAuth zahrnutý na přihlašovací stránce výchozího obsahu portálu pro vývojáře.
I když se nový účet automaticky vytvoří, když se nový uživatel přihlásí pomocí Microsoft Entra ID, zvažte přidání stejného widgetu na registrační stránku. Registrační formulář: Widget OAuth představuje formulář použitý k registraci pomocí OAuth.
Důležité
Aby se změny ID Microsoft Entra projevily, musíte portál znovu publikovat.
Související obsah
- Přečtěte si další informace o Microsoft Entra ID a OAuth2.0.
- Přečtěte si další informace o knihovně MSAL a migraci na knihovnu MSAL.
- Řešení potíží se síťovým připojením k Microsoft Graphu z virtuální sítě