Autorisieren von Entwicklerkonten mithilfe von Microsoft Entra ID in Azure API Management

GILT FÜR: Developer | Basic v2 | Standard | Standard v2 | Premium | Premium v2

In diesem Artikel erfahren Sie, wie Sie:

Eine Übersicht über die Optionen zum Schützen des Entwicklerportals finden Sie unter Sicherer Zugriff auf das API Management Entwicklerportal.

Szenarien, die die externe Microsoft-ID betreffen, um die Anmeldung externer Identitäten beim Entwicklerportal zu ermöglichen, finden Sie unter Autorisieren des Zugriffs auf das API-Verwaltungsentwicklerportal mithilfe der externen Microsoft Entra-ID.

Voraussetzungen

• Absolvieren Sie den Schnellstart unter Schnellstart: Erstellen einer neuen Azure API Management-Dienstinstanz mithilfe des Azure-Portals.

• Importieren und veröffentlichen Sie eine API in der Azure API Management-Instanz.

• Wenn Sie Ihre Instanz auf einer v2-Dienstebene erstellt haben, aktivieren Sie das Entwicklerportal. Weitere Informationen finden Sie im Tutorial: Zugreifen auf das Entwicklerportal und Anpassen des Entwicklerportals.

Navigieren zur API Management-Instanz

1. Suchen Sie im Azure-Portal nach API-Verwaltungsdiensten, und wählen Sie sie aus:

   

2. Wählen Sie auf der Seite "API-Verwaltungsdienste " Ihre API-Verwaltungsinstanz aus:

   

Aktivieren der Benutzeranmeldung mithilfe von Microsoft Entra ID – Portal

Um die Konfiguration zu vereinfachen, kann API Management automatisch eine Microsoft Entra-Anwendung und einen Microsoft Entra-Identitätsanbieter für Benutzer*innen des Entwicklerportals aktivieren. Alternativ können Sie die Microsoft Entra-Anwendung und den Microsoft Entra-Identitätsanbieter manuell aktivieren.

Automatisches Aktivieren der Microsoft Entra-Anwendung und des Microsoft Entra-Identitätsanbieters

Führen Sie die folgenden Schritte aus, um die Microsoft Entra-ID automatisch im Entwicklerportal zu aktivieren:

1. Wählen Sie im linken Menü Ihrer API Management-Instanz unter Entwicklerportal die Option Portalübersicht aus.

2. Scrollen Sie auf der Seite Portalübersicht nach unten zu Benutzeranmeldung mit Microsoft Entra ID aktivieren.

3. Wählen Sie Microsoft Entra ID aktivieren aus.

4. Wählen Sie auf der Seite Microsoft Entra ID aktivieren die Option Microsoft Entra ID aktivieren aus.

5. Wählen Sie Schließen aus.

   

Nach der Aktivierung des Microsoft Entra-Anbieters:

• Benutzer in Ihrem Microsoft Entra-Mandanten können sich über ein Microsoft Entra-Konto beim Entwicklerportal anmelden.
• Sie können die Konfiguration des Microsoft Entra-Identitätsanbieters auf der Seite "Entwicklerportalidentitäten>" im Portal verwalten.
• Aktualisieren Sie optional die App-Registrierung in Der Microsoft Entra-ID, um mehrere Mandanten zu unterstützen, wie unter "Konfigurieren der App-Registrierung für mehrere Mandanten" beschrieben. Der Name der standardmäßigen App-Registrierung, die von DER API-Verwaltung erstellt wird, entspricht dem Namen der API-Verwaltungsinstanz.
• Konfigurieren Sie optional andere Anmeldeeinstellungen, indem Sie Identitäten>Einstellungen auswählen. Sie können beispielsweise anonyme Benutzer zur Anmeldeseite umleiten.
• Veröffentlichen Sie das Entwicklerportal nach einer Konfigurationsänderung erneut.

Manuelles Aktivieren der Microsoft Entra-Anwendung und des Microsoft Entra-Identitätsanbieters

Alternativ können Sie die Microsoft Entra-ID im Entwicklerportal manuell aktivieren, indem Sie eine Anwendung selbst in der Microsoft Entra-ID registrieren und den Identitätsanbieter für das Entwicklerportal konfigurieren.

1. Wählen Sie im linken Menü Ihrer API Management-Instanz unter Entwicklerportal die Option Identitäten aus.

2. Wählen Sie oben +Hinzufügen aus, um den Bereich " Identitätsanbieter hinzufügen " rechts zu öffnen.

3. Wählen Sie unter Typ im Dropdownmenü die Option Microsoft Entra ID aus. Wenn Sie diese Option auswählen, können Sie weitere erforderliche Informationen eingeben.

   • Wählen Sie in der Dropdownliste ClientbibliothekMSAL aus.
   • Informationen zum Hinzufügen von Client-ID und Geheimem Clientschlüssel finden Sie weiter unten im Artikel.

4. Speichern Sie die Umleitungs-URL, da Sie sie später benötigen.

   

5. Öffnen Sie das Azure-Portal in Ihrem Browser auf einer neuen Registerkarte.

6. Navigieren Sie zu App-Registrierungen , um eine App in der Microsoft Entra-ID zu registrieren.

7. Wählen Sie Neue Registrierung aus. Legen Sie auf der Seite Anwendung registrieren folgende Werte fest:

   • Legen Sie Name auf einen aussagekräftigen Namen wie developer-portal fest.
   • Legen Sie unterstützte Kontotypen fest, treffen Sie eine auswahl, die für Ihre Szenarien geeignet ist. Wenn Sie Benutzern in mehreren Microsoft Entra ID-Mandanten den Zugriff auf das Entwicklerportal gestatten möchten, wählen Sie "Konten" in einem beliebigen Organisationsverzeichnis (Multitenant) aus.
   • Wählen Sie unter Umleitungs-URIdie Option Single-Page-Webanwendung (SPA) aus, und fügen Sie die Umleitungs-URL ein, die Sie in einem vorherigen Schritt gespeichert haben.
   • Wählen Sie Registrieren.

8. Nachdem Sie die Anwendung registriert haben, kopieren Sie die Anwendungs-ID (Client-ID) von der Seite "Übersicht" .

9. Wechseln Sie zur Browserregisterkarte mit Ihrer API Management-Instanz.

10. Fügen Sie den Wert Anwendungs-ID (Client) im Fenster Identitätsanbieter hinzufügen in das Feld Client-ID ein.

11. Wechseln Sie zur Browserregisterkarte mit der App-Registrierung.

12. Wählen Sie die entsprechende App-Registrierung aus.

13. Wählen Sie im Abschnitt Verwalten des seitlichen Menüs Zertifikate und Geheimnisse aus.

14. Wählen Sie auf der Seite Zertifikate und Geheimnisse unter Geheime Clientschlüssel die Schaltfläche Neuer geheimer Clientschlüssel aus.

    • Geben Sie eine Beschreibung ein.
    • Wählen Sie eine beliebige Option für Gültig bis aus.
    • Wählen Sie Hinzufügen aus.

15. Kopieren Sie den Client Geheimniswert, bevor Sie die Seite verlassen. Sie benötigen sie in einem späteren Schritt.

16. Wählen Sie im seitlichen Menü unter Verwalten die Option Tokenkonfiguration>+ Optionalen Anspruch hinzufügen aus.

    1. Wählen Sie als Tokentyp die Option ID aus.
    2. Wählen (aktivieren) Sie die folgenden Ansprüche: email, family_name, given_name.
    3. Wählen Sie Hinzufügen. Wählen Sie bei entsprechender Aufforderung E-Mail, Profilberechtigung von Microsoft Graph aktivieren aus.

17. Wechseln Sie zur Browserregisterkarte mit Ihrer API Management-Instanz.

18. Fügen Sie das Geheimnis im Bereich Identitätsanbieter hinzufügen in das Feld Geheimer Clientschlüssel ein.

    Wichtig

    Aktualisieren Sie den geheimen Clientschlüssel, bevor er abläuft.

19. Geben Sie im Anmeldemandanten einen Mandantennamen oder eine ID an, der/die für die Anmeldung bei Microsoft Entra verwendet werden soll. Wenn Sie keinen Wert angeben, wird der gemeinsame Endpunkt verwendet.

20. Fügen Sie in zugelassenen Mandanten einen oder mehrere spezifische Microsoft Entra-Mandantennamen oder IDs für die Anmeldung bei Microsoft Entra hinzu.

    Hinweis

    Wenn Sie zusätzliche Mandanten angeben, muss die App-Registrierung so konfiguriert werden, dass mehrere Mandanten unterstützt werden. Weitere Informationen finden Sie unter App-Registrierung für mehrere Mandanten konfigurieren.

21. Nachdem Sie die gewünschte Konfiguration angegeben haben, wählen Sie Hinzufügen aus.

22. Veröffentlichen Sie das Entwicklerportal neu, damit die Microsoft Entra-Konfiguration wirksam wird. Wählen Sie im Menü auf der linken Seite unter Entwicklerportal die Option Portalübersicht>Veröffentlichen aus.

Nach der Aktivierung des Microsoft Entra-Anbieters:

• Benutzer in den angegebenen Microsoft Entra-Mandanten können sich mit einem Microsoft Entra-Konto beim Entwicklerportal anmelden.
• Sie können die Microsoft Entra-Konfiguration im Portal auf der Seite Entwicklerportal>Identitäten verwalten.
• Konfigurieren Sie optional andere Anmeldeeinstellungen, indem Sie Identitäten>Einstellungen auswählen. Sie können beispielsweise anonyme Benutzer zur Anmeldeseite umleiten.
• Veröffentlichen Sie das Entwicklerportal nach einer Konfigurationsänderung erneut.

Migrieren zu MSAL

Wenn Sie zuvor eine Microsoft Entra-App für die Benutzeranmeldung mithilfe von ADAL konfiguriert haben, können Sie das Portal verwenden, um die App zu MSAL zu migrieren und den Identitätsanbieter in der API-Verwaltung zu aktualisieren.

Aktualisieren der Microsoft Entra-App für MSAL-Kompatibilität

Schritte finden Sie unter Wechseln von Umleitungs-URIs zum Single-Page-Webanwendungstyp.

Aktualisieren der Identitätsanbieterkonfiguration

1. Wählen Sie im linken Menü Ihrer API Management-Instanz unter Entwicklerportal die Option Identitäten aus.
2. Wählen Sie Microsoft Entra ID aus der Liste aus.
3. Wählen Sie in der Dropdownliste ClientbibliothekMSAL aus.
4. Wählen Sie Aktualisieren aus.
5. Veröffentlichen Sie Ihr Entwicklerportal erneut.

Konfigurieren des Benutzerzugriffs für mehrere Microsoft Entra-Mandanten

Sie können den Zugriff auf das Entwicklerportal durch Benutzer aus mehr als einem Microsoft Entra ID-Mandanten aktivieren. Um dies zu tun:

• Konfigurieren Sie die App-Registrierung für mehrere Mandanten.
• Aktualisieren Sie die Microsoft Entra ID-Identitätsanbieterkonfiguration für das Entwicklerportal, um einen anderen Mandanten hinzuzufügen.

Konfiguration der App-Registrierung für mehrere Mandanten

Die App-Registrierung, die Sie für den Identitätsanbieter konfigurieren, muss mehrere Mandanten unterstützen. Sie können dies auf eine der folgenden Arten tun:

• Legen Sie beim Erstellen der App-Registrierung unterstützte Kontotypenauf Konten in einem beliebigen Organisationsverzeichnis fest (Jeder Microsoft Entra ID-Mandant – Multitenant).
• Wenn Sie zuvor eine App-Registrierung für einen einzelnen Mandanten konfiguriert haben, aktualisieren Sie die Einstellung "Unterstützte Kontotypen" auf der Seite "Authentifizierung>" der App-Registrierung.

Aktualisieren der Microsoft Entra ID-Identitätsanbieterkonfiguration für mehrere Mandanten

Aktualisieren Sie die Identitätsanbieterkonfiguration, um einen anderen Mandanten hinzuzufügen:

1. Wechseln Sie im Azure-Portal zu Ihrer API-Verwaltungsinstanz.
2. Wählen Sie im Entwicklerportal"Identitäten" aus.
3. Wählen Sie Microsoft Entra ID aus der Liste aus.
4. Fügen Sie im Feld "Mandanten-ID " die zusätzlichen Mandanten-IDs hinzu, die durch Kommas getrennt sind.
5. Aktualisieren Sie den Wert des Signin-Mandanten auf einen der konfigurierten Mandanten.
6. Wählen Sie Aktualisieren aus.
7. Veröffentlichen Sie Ihr Entwicklerportal erneut.

Hinzufügen einer externen Microsoft Entra-Gruppe

Nachdem Sie den Zugriff für Benutzer in einem Microsoft Entra-Mandanten aktiviert haben, können Sie:

• Hinzufügen von Microsoft Entra-Gruppen in API Management Sie müssen Gruppen im Mandanten hinzufügen, in dem Sie Ihre API-Verwaltungsinstanz bereitgestellt haben.
• Steuern der Produktsichtbarkeit mithilfe von Microsoft Entra-Gruppen.

1. Wechseln Sie zur Seite "App-Registrierung" für die Anwendung, die Sie im vorherigen Abschnitt registriert haben.
2. Wählen Sie API-Berechtigungen aus.
3. Fügen Sie die folgenden Mindestanwendungsberechtigungen für die Microsoft Graph-API hinzu:
   • User.Read.All Anwendungsberechtigung – sodass die API-Verwaltung die Gruppenmitgliedschaft des Benutzers lesen kann, um die Gruppensynchronisierung durchzuführen, wenn sich der Benutzer anmeldet.
   • Group.Read.All Anwendungsberechtigung – damit API Management die Microsoft Entra-Gruppen lesen kann, wenn ein Administrator versucht, die Gruppe mit dem "Gruppen"-Blade im Portal zu API Management hinzuzufügen.
4. Wählen Sie "Administratorzustimmung für {tenantname} " aus, um allen Benutzern in diesem Verzeichnis Zugriff zu gewähren.

Jetzt können Sie externe Microsoft Entra-Gruppen über die Registerkarte Gruppen Ihrer API Management-Instanz hinzufügen.

1. Wählen Sie im Seitenmenü unter Entwicklerportal die Option Gruppen aus.

2. Wählen Sie die Schaltfläche Microsoft Entra-Gruppe hinzufügen aus.

   

3. Wählen Sie in der Dropdownliste den Mandanten aus.

4. Suchen Sie nach der Gruppe, die Sie hinzufügen möchten, und wählen Sie sie aus.

5. Klicken Sie auf die Schaltfläche Auswählen.

Nachdem Sie eine externe Microsoft Entra-Gruppe hinzugefügt haben, können Sie dessen Eigenschaften überprüfen und konfigurieren:

1. Wählen Sie den Namen der Gruppe auf der Registerkarte Gruppen aus.
2. Bearbeiten Sie den Namen und die Beschreibung für die Gruppe.

Benutzer*innen aus der konfigurierten Microsoft Entra-Instanz können jetzt folgende Aktionen ausführen:

• Melden Sie sich beim Entwicklerportal an.
• Sie können beliebige Gruppen anzeigen und abonnieren, die für sie sichtbar sind.

Synchronisieren von Microsoft Entra-Gruppen mit API Management

Gruppen, die Sie in Microsoft Entra konfigurieren, müssen mit der API-Verwaltung synchronisiert werden, damit Sie sie Ihrer Instanz hinzufügen können. Wenn die Gruppen nicht automatisch synchronisiert werden, verwenden Sie einen der folgenden Schritte, um Gruppeninformationen manuell zu synchronisieren:

• Melden Sie sich ab und melden Sie sich bei Microsoft Entra ID an. Diese Aktivität löst in der Regel die Synchronisierung von Gruppen aus.
• Stellen Sie sicher, dass der Microsoft Entra-Anmeldemandant in Ihren Konfigurationseinstellungen in der API Management auf die gleiche Weise (unter Verwendung einer Mandanten-ID oder eines Domänennamens) angegeben ist. Sie geben den Anmeldemandanten im Microsoft Entra ID-Identitätsanbieter für das Entwicklerportal an und fügen eine Microsoft Entra-Gruppe zur API-Verwaltung hinzu.

Entwicklerportal: Hinzufügen der Microsoft Entra-Kontoauthentifizierung

Im Entwicklerportal können Sie die Anmeldung mit microsoft Entra ID aktivieren, indem Sie die Schaltfläche "Anmelden" verwenden: OAuth-Widget , das auf der Anmeldeseite des Standardmäßigen Entwicklerportalinhalts enthalten ist.

Ein Benutzer kann sich dann wie folgt mit der Microsoft Entra-ID anmelden:

1. Wechseln Sie zum Entwicklerportal. Wählen Sie Anmelden aus.

2. Wählen Sie auf der Anmeldeseitedie Microsoft Entra-ID aus. Wenn Sie diese Schaltfläche auswählen, wird die Anmeldeseite der Microsoft Entra-ID geöffnet.

   

   Tipp

   Wenn mehr als ein Mandant für den Zugriff konfiguriert ist, wird auf der Anmeldeseite mehr als eine Microsoft Entra ID-Schaltfläche angezeigt. Jede Schaltfläche wird mit dem Mandantennamen bezeichnet.

3. Antworten Sie im Anmeldefenster für Ihren Microsoft Entra-Mandanten auf die Eingabeaufforderungen. Nachdem die Anmeldung abgeschlossen ist, wird der Benutzer zurück zum Entwicklerportal umgeleitet.

Der Benutzer ist jetzt beim Entwicklerportal angemeldet und als neue API-Verwaltungsbenutzeridentität in "Benutzer" hinzugefügt.

Obwohl automatisch ein neues Konto erstellt wird, wenn sich ein neuer Benutzer mit Microsoft Entra-ID anmeldet, sollten Sie dasselbe Widget zur Anmeldeseite hinzufügen. Das Widget Registrierungsformular: OAuth stellt ein Formular dar, das zum Registrieren bei OAuth verwendet wird.

Zugehöriger Inhalt

• Erfahren Sie mehr über Microsoft Entra ID und OAuth2.0.
• Erfahren Sie mehr über MSAL und die Migration zu MSAL.
• Behandeln von Problemen mit der Netzwerkkonnektivität mit Microsoft Graph aus einem VNetheraus.