Поделиться через


Авторизация учетных записей разработчиков через Microsoft Entra ID в службе управления Azure API

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовая версия 2 | Стандартный | Стандарт версия 2 | Премиум | Премиум версия 2

В этой статье вы узнаете, как выполнять следующие задачи.

  • Включите доступ к порталу разработчика для пользователей из идентификатора Microsoft Entra.
  • Управление группами пользователей Microsoft Entra путем добавления внешних групп, содержащих пользователей.

Для получения общих сведений о вариантах защиты портала разработчика см. статью Безопасный доступ к порталу разработчика "Управление API".

Внимание

  • Эта статья была обновлена с инструкциями по настройке приложения Microsoft Entra с помощью библиотеки проверки подлинности Майкрософт (MSAL).
  • Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью библиотеки аутентификация Azure AD (ADAL), рекомендуется выполнить миграцию в MSAL.

Предварительные условия

  • Используйте среду Bash в Azure Cloud Shell. Для получения дополнительной информации смотрите Краткое руководство по Bash в Azure Cloud Shell.

  • Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

    • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

    • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

    • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Перейдите к инстансу управления API.

  1. На портале Azure найдите и выберите службы управления API:

    снимок экрана, на котором показаны службы управления API в результатах поиска.

  2. На странице управления API выберите ваш экземпляр службы управления API:

    снимок экрана, на котором показан экземпляр службы управления API на странице служб управления API.

Включение входа в систему пользователей с помощью Microsoft Entra ID — портал

Чтобы упростить настройку, Управление API может автоматически включить приложение Microsoft Entra и поставщика удостоверений для пользователей портала разработчика. Кроме того, можно вручную включить приложение Microsoft Entra и настроить поставщика удостоверений.

Автоматическое включение приложения Microsoft Entra и поставщика удостоверений

  1. В меню экземпляра службы "Управление API" слева в разделе Портал разработчика выберите Обзор портала.

  2. На странице обзора портала прокрутите вниз, чтобы включить вход пользователя с помощью идентификатора Microsoft Entra.

  3. Выберите Включить Microsoft Entra ID.

  4. На странице "Включить идентификатор Microsoft Entra ID" выберите "Включить идентификатор Microsoft Entra ID".

  5. Выберите Закрыть.

    Снимок экрана: включение идентификатора Microsoft Entra на странице обзора портала разработчика.

После включения поставщика Microsoft Entra:

  • Пользователи в указанном экземпляре Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
  • Вы можете управлять конфигурацией Microsoft Entra на странице удостоверений портала>разработчика на портале.
  • При необходимости настройте другие параметры входа, выбрав Аккаунты>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
  • Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Вручную включите приложение Microsoft Entra и поставщика удостоверений.

  1. В левом меню вашей инстанции Управления API, под Порталом разработчика, выберите Удостоверения.

  2. Выберите + Добавить наверху, чтобы открыть область Добавление поставщика аутентификации справа.

  3. В разделе " Тип" выберите идентификатор Microsoft Entra в раскрывающемся меню. После выбора вы сможете ввести другие необходимые сведения,

    • В раскрывающемся списке Клиентской библиотеки выберите MSAL.
    • Сведения о добавлении Идентификатора клиента и Секрета клиента см. далее в этой статье.
  4. Сохраните URL-адрес перенаправления для дальнейшего использования.

    Снимок экрана добавления поставщика удостоверений в портале Azure.

  5. В браузере откройте портал Azure в новой вкладке.

  6. Выберите Регистрация приложений, чтобы зарегистрировать приложение в Active Directory.

  7. Выберите Создать регистрацию. На странице Регистрация приложения задайте необходимые значения следующим образом.

    • В области Имя укажите понятное имя, например developer-portal.
    • Измените значение параметра Поддерживаемые типы учетных записей на Учетные записи в любом каталоге организации.
    • В области URI перенаправления выберите Одностраничное приложение (SPA) и вставьте URL-адрес перенаправления, сохраненный на предыдущем шаге.
    • Выберите Зарегистрировать.
  8. После регистрации приложения скопируйте идентификатор приложения (клиента) на странице Обзор.

  9. Переключитесь на вкладку браузера с вашим экземпляром управления API.

  10. В окне Добавление поставщика удостоверений вставьте значение ID приложения (клиента) в поле Идентификатор клиента.

  11. Перейдите на вкладку браузера с регистрацией приложения.

  12. Выберите соответствующую регистрацию приложения.

  13. В разделе "Управление" бокового меню выберите сертификаты и секреты.

  14. На странице "Сертификаты и секреты" нажмите кнопку "Новый секрет клиента" в разделе "Секреты клиента".

    • Введите Описание.
    • Выберите любое значение для параметра Истекает.
    • Нажмите кнопку Добавить.
  15. Скопируйте секретное значение клиента перед уходом со страницы. Оно понадобится вам позднее.

  16. В разделе Управление в боковом меню выберите Конфигурация токена>+ Добавить необязательное утверждение.

    1. В разделе Тип токена выберите ИД.
    2. Выберите (установите флажки) следующие утверждения: email, family_name, given_name.
    3. Выберите Добавить. При появлении запроса выберите Включить разрешение на использование электронной почты и профиля Microsoft Graph.
  17. Переключитесь на вкладку браузера с вашим экземпляром управления API.

  18. Вставьте секрет в поле Секрет клиента в области Добавление поставщика удостоверений.

    Внимание

    Обновите секрет клиента до истечения срока действия ключа.

  19. Укажите в Signin tenant имя клиента или идентификатор для входа в Microsoft Entra. Если значение не указано, используется общая конечная точка.

  20. В разрешенных арендаторах добавьте конкретные имена арендаторов или идентификаторы Microsoft Entra для входа в Microsoft Entra.

  21. После указания требуемой конфигурации выберите Добавить.

  22. Повторно опубликуйте портал разработчика, чтобы изменения конфигурации Microsoft Entra вступили в силу. В меню слева в разделе Портал разработчика щелкните Обзор портала>Опубликовать.

После включения поставщика Microsoft Entra:

  • Пользователи в указанных клиентах Microsoft Entra могут войти на портал разработчика с помощью учетной записи Microsoft Entra.
  • Вы можете управлять конфигурацией Microsoft Entra на странице портала разработчика>удостоверений в портале.
  • При необходимости настройте другие параметры входа, выбрав Аккаунты>Параметры. Например, возможно, вы захотите перенаправлять анонимных пользователей на страницу входа.
  • Повторно опубликуйте портал разработчика после любого изменения конфигурации.

Перейти на MSAL

Если вы ранее настроили приложение Microsoft Entra для входа пользователя с помощью ADAL, вы можете использовать портал для переноса приложения в MSAL и обновления поставщика удостоверений в Управлении API.

Обновление приложения Microsoft Entra для совместимости MSAL

См. шаги в разделе Переключение URI перенаправления на тип одностраничного приложения.

Обновление конфигурации поставщика удостоверений

  1. В левом меню вашего экземпляра службы "Управление API", в разделе Портал разработчика, выберите Удостоверения.
  2. Выберите идентификатор Microsoft Entra из списка.
  3. В раскрывающемся списке Клиентской библиотеки выберите MSAL.
  4. Выберите Обновить.
  5. Повторно опубликуйте портал разработчика.

Добавление внешней группы Microsoft Entra

Теперь, когда вы включили доступ для пользователей в клиенте Microsoft Entra, вы можете:

  • Добавьте группы Microsoft Entra в Управление API. Добавленные группы должны находиться в тенанте, где развернут экземпляр управления API.
  • Управление видимостью продукта с помощью групп Microsoft Entra.
  1. Перейдите на страницу "Регистрация приложений" для приложения, зарегистрированного в предыдущем разделе.
  2. Выберите Разрешения API.
  3. Добавьте следующие минимальные разрешения приложения для API Microsoft Graph:
    • User.Read.Allразрешение приложения — поэтому Управление API может считывать членство пользователя в группе для выполнения синхронизации групп во время входа пользователя.
    • Group.Read.Allразрешение приложения — поэтому Управление API может считывать группы Microsoft Entra, когда администратор пытается добавить группу в Управление API с помощью колонки "Группы" на портале.
  4. Выберите Предоставить согласие администратора для {имя_клиента}, чтобы предоставить доступ всем пользователям в этом каталоге.

Теперь можно добавить внешние группы Microsoft Entra на вкладке "Группы" экземпляра управления API.

  1. В разделе Портал разработчика бокового меню выберите Группы.

  2. Нажмите кнопку Добавить группу Microsoft Entra.

    Снимок экрана, на котором показана кнопка «Добавить группу Microsoft Entra» на портале.

  3. Выберите Арендатор из раскрывающегося списка.

  4. Найдите и выберите группу для добавления.

  5. Нажмите кнопку Выбрать.

После добавления внешней группы Microsoft Entra можно просмотреть и настроить его свойства:

  1. Выберите имя группы на вкладке Группы.
  2. Измените имя и описание группы.

Теперь пользователи из настроенного экземпляра Microsoft Entra могут:

  • Войдите в портал разработчика.
  • Просматривать и подписываться на любые группы, которые доступны им.

Примечание.

Узнайте больше о различиях между делегированными разрешениями и разрешениями приложений из статьи Разрешения и согласие на платформе удостоверений Майкрософт.

Синхронизация групп Microsoft Entra в API Management

Группы, настроенные в Microsoft Entra, должны синхронизироваться с системой управления API, чтобы их можно было бы добавить в ваш экземпляр. Если группы не синхронизируются автоматически, выполните одно из следующих действий, чтобы синхронизировать сведения о группах вручную:

  • Выйдите из учетной записи и войдите в учетную запись Microsoft Entra. Обычно это действие активирует синхронизацию групп.
  • Убедитесь, что тенант входа Microsoft Entra указан таким же образом (используя один из идентификаторов тенанта или доменного имени) в параметрах конфигурации в API Management. Вы указываете арендатора для входа в поставщике удостоверений Microsoft Entra ID в портале разработчика и при добавлении группы Microsoft Entra в управление API.

Портал разработчика: Добавить проверку подлинности учетной записи Microsoft Entra

На портале разработчика можно войти с помощью учетной записи Microsoft Entra, используя кнопку входа: виджет OAuth, включенный на страницу входа в содержимое портала разработчика по умолчанию.

Снимок экрана, показывающий виджет OAuth на портале разработчика.

Хотя новая учетная запись будет автоматически создана при входе нового пользователя с помощью идентификатора Microsoft Entra, рассмотрите возможность добавления того же мини-приложения на страницу регистрации. Виджет Форма регистрации: OAuth представляет форму для регистрации с помощью OAuth.

Внимание

Чтобы изменения Microsoft Entra ID вступили в силу, необходимо повторно опубликовать портал.