Freigeben über

Wie Sie Entwicklerkonten mit externen Identitätsanbietern in Microsoft Entra External ID autorisieren

GILT FÜR: Entwickler | Basic v2 | Standard | Standard v2 | Premium | Premium v2

Die externe Microsoft Entra-ID ist eine Cloudidentitätsverwaltungslösung, mit der externe Identitäten sicher auf Ihre Apps und Ressourcen zugreifen können. Sie können ihn verwenden, um den Zugriff auf Ihr API Management-Entwicklerportal durch externe Identitäten zu verwalten.

Eine Übersicht über Optionen zum Sichern des Zugriffs auf das Entwicklerportal finden Sie unter "Sicherer Zugriff auf das API Management-Entwicklerportal".

Derzeit unterstützt die API-Verwaltung externe Identitätsanbieter in Microsoft Entra External ID, wenn sie in einem Microsoft Entra ID-Arbeitsmandant konfiguriert sind. Wenn Sie beispielsweise den Zugriff auf das Entwicklerportal durch Benutzer in Ihrem Mitarbeitermandanten aktivieren, z. B. die Contoso-Organisation, sollten Sie Google oder Facebook als externen Identitätsanbieter konfigurieren, damit sich diese externen Benutzer auch mit ihren Konten anmelden können. Erfahren Sie mehr über Mitarbeiter- und externe Mandantenkonfigurationen in der externen Microsoft-ID.

Tipp

Api Management unterstützt jetzt den Zugriff auf das Entwicklerportal von Benutzern in mehr als einem Microsoft Entra ID-Mandanten über eine einzelne App-Registrierung und Identitätskonfiguration. Derzeit wird dies in den Stufen "Entwickler", "Standard" und "Premium" unterstützt.

Hinweis

Die API-Verwaltung bietet Legacy-Unterstützung für Azure Active Directory B2C als einen externen Identitätsanbieter. Es wird jedoch empfohlen, die externe Microsoft Entra-ID anstelle von Azure Active Directory B2C für neue Bereitstellungen des API Management-Entwicklerportals als externen Identitätsanbieter zu verwenden.

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Voraussetzungen

Hinzufügen eines externen Identitätsanbieters zu Ihrem Mandanten

Für dieses Szenario müssen Sie einen Identitätsanbieter für External ID in Ihrem Workforce-Tenant aktivieren. Das Konfigurieren des externen Identitätsanbieters hängt vom jeweiligen Anbieter ab und liegt außerhalb des Umfangs dieses Artikels. Optionen und Links zu den Schritten finden Sie unter Identitätsanbieter für externe IDs in Mitarbeitermandanten.

Aktivieren der Benutzeranmeldung mithilfe von Microsoft Entra ID – Portal

Um die Konfiguration zu vereinfachen, kann API Management automatisch eine Microsoft Entra-Anwendung und einen Microsoft Entra-Identitätsanbieter für Benutzer*innen des Entwicklerportals aktivieren. Alternativ können Sie die Microsoft Entra-Anwendung und den Microsoft Entra-Identitätsanbieter manuell aktivieren.

Automatisches Aktivieren der Microsoft Entra-Anwendung und des Microsoft Entra-Identitätsanbieters

Führen Sie die folgenden Schritte aus, um die Microsoft Entra-ID automatisch im Entwicklerportal zu aktivieren:

  1. Wählen Sie im linken Menü Ihrer API Management-Instanz unter Entwicklerportal die Option Portalübersicht aus.

  2. Scrollen Sie auf der Seite Portalübersicht nach unten zu Benutzeranmeldung mit Microsoft Entra ID aktivieren.

  3. Wählen Sie Microsoft Entra ID aktivieren aus.

  4. Wählen Sie auf der Seite Microsoft Entra ID aktivieren die Option Microsoft Entra ID aktivieren aus.

  5. Wählen Sie "Schließen" aus.

    Screenshot: Aktivierung der Microsoft Entra-ID auf der Übersichtsseite des Entwicklerportals

Nach der Aktivierung des Microsoft Entra-Anbieters:

  • Benutzer in Ihrem Microsoft Entra-Mandanten können sich über ein Microsoft Entra-Konto beim Entwicklerportal anmelden.
  • Sie können die Konfiguration des Microsoft Entra-Identitätsanbieters auf der Seite "Entwicklerportalidentitäten>" im Portal verwalten.
  • Aktualisieren Sie optional die App-Registrierung in Der Microsoft Entra-ID, um mehrere Mandanten zu unterstützen, wie unter "Konfigurieren der App-Registrierung für mehrere Mandanten" beschrieben. Der Name der standardmäßigen App-Registrierung, die von DER API-Verwaltung erstellt wird, entspricht dem Namen der API-Verwaltungsinstanz.
  • Konfigurieren Sie optional andere Anmeldeeinstellungen, indem Sie Identitäten>Einstellungen auswählen. Sie können beispielsweise anonyme Benutzer zur Anmeldeseite umleiten.
  • Veröffentlichen Sie das Entwicklerportal nach einer Konfigurationsänderung erneut.

Manuelles Aktivieren der Microsoft Entra-Anwendung und des Microsoft Entra-Identitätsanbieters

Alternativ können Sie die Microsoft Entra-ID im Entwicklerportal manuell aktivieren, indem Sie eine Anwendung selbst in der Microsoft Entra-ID registrieren und den Identitätsanbieter für das Entwicklerportal konfigurieren.

  1. Wählen Sie im linken Menü Ihrer API Management-Instanz unter Entwicklerportal die Option Identitäten aus.

  2. Wählen Sie oben +Hinzufügen aus, um den Bereich " Identitätsanbieter hinzufügen " rechts zu öffnen.

  3. Wählen Sie unter Typ im Dropdownmenü die Option Microsoft Entra ID aus. Wenn Sie diese Option auswählen, können Sie weitere erforderliche Informationen eingeben.

    • Wählen Sie im Dropdown ClientbibliothekMSAL aus.
    • Informationen zum Hinzufügen von Client-ID und Geheimem Clientschlüssel finden Sie weiter unten im Artikel.

  4. Speichern Sie die Umleitungs-URL, da Sie sie später benötigen.

    Screenshot: Hinzufügen des Identitätsanbieters im Azure-Portal.

  5. Öffnen Sie das Azure-Portal in Ihrem Browser auf einer neuen Registerkarte.

  6. Navigieren Sie zu App-Registrierungen , um eine App in der Microsoft Entra-ID zu registrieren.

  7. Wählen Sie Neue Registrierung aus. Legen Sie auf der Seite Anwendung registrieren folgende Werte fest:

    • Legen Sie Name auf einen aussagekräftigen Namen wie developer-portal fest.
    • Legen Sie unterstützte Kontotypen fest, treffen Sie eine auswahl, die für Ihre Szenarien geeignet ist. Wenn Sie Benutzern in mehreren Microsoft Entra ID-Mandanten den Zugriff auf das Entwicklerportal gestatten möchten, wählen Sie "Konten" in einem beliebigen Organisationsverzeichnis (Multitenant) aus.
    • Wählen Sie unter Umleitungs-URIdie Option Single-Page-Webanwendung (SPA) aus, und fügen Sie die Umleitungs-URL ein, die Sie in einem vorherigen Schritt gespeichert haben.
    • Wählen Sie Registrieren aus.

  8. Nachdem Sie die Anwendung registriert haben, kopieren Sie die Anwendungs-ID (Client-ID) von der Seite "Übersicht" .

  9. Wechseln Sie zur Browserregisterkarte mit Ihrer API Management-Instanz.

  10. Fügen Sie den Wert Anwendungs-ID (Client) im Fenster Identitätsanbieter hinzufügen in das Feld Client-ID ein.

  11. Wechseln Sie zur Browserregisterkarte mit der App-Registrierung.

  12. Wählen Sie die entsprechende App-Registrierung aus.

  13. Wählen Sie im Abschnitt Verwalten des seitlichen Menüs Zertifikate und Geheimnisse aus.

  14. Wählen Sie auf der Seite Zertifikate und Geheimnisse unter Geheime Clientschlüssel die Schaltfläche Neuer geheimer Clientschlüssel aus.

    • Geben Sie eine Beschreibung ein.
    • Wählen Sie eine beliebige Option für "Läuft ab".
    • Wählen Sie Hinzufügen aus.

  15. Kopieren Sie den Client Geheimniswert, bevor Sie die Seite verlassen. Sie benötigen sie in einem späteren Schritt.

  16. Wählen Sie im seitlichen Menü unter Verwalten die Option Tokenkonfiguration>+ Optionalen Anspruch hinzufügen aus.

    1. Wählen Sie im Tokentypdie ID aus.
    2. Aktivieren (überprüfen) Sie die folgenden Attribute: E-Mail, Nachname, Vorname.
    3. Wählen Sie Hinzufügen aus. Wählen Sie bei entsprechender Aufforderung E-Mail, Profilberechtigung von Microsoft Graph aktivieren aus.

  17. Wechseln Sie zur Browserregisterkarte mit Ihrer API Management-Instanz.

  18. Fügen Sie das Geheimnis im Bereich Identitätsanbieter hinzufügen in das Feld Geheimer Clientschlüssel ein.

    Von Bedeutung

    Aktualisieren Sie den geheimen Clientschlüssel, bevor er abläuft.

  19. Geben Sie im Anmeldemandanten einen Mandantennamen oder eine ID an, der/die für die Anmeldung bei Microsoft Entra verwendet werden soll. Wenn Sie keinen Wert angeben, wird der gemeinsame Endpunkt verwendet.

  20. Fügen Sie in zugelassenen Mandanten einen oder mehrere spezifische Microsoft Entra-Mandantennamen oder IDs für die Anmeldung bei Microsoft Entra hinzu.

    Hinweis

    Wenn Sie zusätzliche Mandanten angeben, muss die App-Registrierung so konfiguriert werden, dass mehrere Mandanten unterstützt werden. Weitere Informationen finden Sie unter App-Registrierung für mehrere Mandanten konfigurieren.

  21. Nachdem Sie die gewünschte Konfiguration angegeben haben, wählen Sie Hinzufügen aus.

  22. Veröffentlichen Sie das Entwicklerportal erneut, damit die Microsoft Entra-Konfiguration wirksam wird. Wählen Sie im Menü auf der linken Seite unter Entwicklerportal die Option Portalübersicht>Veröffentlichen aus.

Nach der Aktivierung des Microsoft Entra-Anbieters:

  • Benutzer in den angegebenen Microsoft Entra-Mandanten können sich mit einem Microsoft Entra-Konto beim Entwicklerportal anmelden.
  • Sie können die Microsoft Entra-Konfiguration im Portal auf der Seite Entwicklerportal>Identitäten verwalten.
  • Konfigurieren Sie optional andere Anmeldeeinstellungen, indem Sie Identitäten>Einstellungen auswählen. Sie können beispielsweise anonyme Benutzer zur Anmeldeseite umleiten.
  • Veröffentlichen Sie das Entwicklerportal nach einer Konfigurationsänderung erneut.

Aktivieren der Self-Service-Registrierung für Ihren Mandanten

Führen Sie die folgenden Schritte aus, um externen Benutzern die Registrierung für den Zugriff auf das Entwicklerportal zu ermöglichen:

  • Aktivieren Sie die Self-Service-Registrierung für den externen Mandanten.
  • Fügen Sie Ihre App zum Self-Service-Registrierungsbenutzerablauf hinzu.

Weitere Informationen und detaillierte Schritte finden Sie unter Hinzufügen von Self-Service-Anmeldebenutzerflüssen für die B2B-Zusammenarbeit.

Anmelden beim Entwicklerportal mit externer Microsoft Entra-ID

Im Entwicklerportal können Sie die Anmeldung mit der externen Microsoft Entra-ID mithilfe der Schaltfläche "Anmelden" aktivieren: OAuth-Widget . Das Widget ist bereits auf der Anmeldeseite des Standardmäßigen Entwicklerportalinhalts enthalten.

Ein Benutzer kann sich dann wie folgt mit der externen Microsoft Entra-ID anmelden:

  1. Wechseln Sie zum Entwicklerportal. Wählen Sie "Anmelden" aus.

  2. Wählen Sie auf der Anmeldeseitedie Microsoft Entra-ID aus.

    Screenshot der Auswahl der Microsoft Entra-ID auf der Anmeldeseite im Entwicklerportal.

    Tipp

    Wenn Sie mehrere Microsoft Entra-Mandanten zur Authentifizierung konfigurieren, werden auf der Anmeldeseite mehrere Microsoft Entra-ID-Schaltflächen angezeigt. Jede Schaltfläche wird mit dem Mandantennamen bezeichnet.

  3. Wählen Sie im Anmeldefenster für Ihren Microsoft Entra-Mandanten die Anmeldeoptionen aus. Wählen Sie den externen Identitätsanbieter aus, der in Ihrem Microsoft Entra-Mandanten konfiguriert ist, um sich anzumelden. Wenn Sie beispielsweise Google als Identitätsanbieter konfiguriert haben, wählen Sie "Mit Google anmelden" aus.

    Screenshot der Auswahl des externen Identitätsanbieters in Microsoft Entra.

  4. Um die Anmeldung fortzusetzen, antworten Sie auf die Eingabeaufforderungen. Nachdem die Anmeldung abgeschlossen ist, wird der Benutzer zurück zum Entwicklerportal umgeleitet.

Der Benutzer ist nun beim Entwicklerportal angemeldet, wurde als neue API Management-Benutzeridentität in Benutzer hinzugefügt und außerdem als neuer externer Mandantenbenutzer in Microsoft Entra ID eingetragen.

Verwandte Inhalte

  • Last updated on