Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium | Premium v2
API Management bietet auch ein vollständig anpassbares, eigenständiges, verwaltetes Entwicklerportal, das extern (oder intern) verwendet werden kann, damit Entwicklerbenutzer die über API Management veröffentlichten APIs entdecken und mit ihnen interagieren können. Das Entwicklerportal bietet mehrere Optionen, um die sichere Registrierung und Anmeldung von Benutzern zu erleichtern.
Hinweis
Das Entwicklerportal ermöglicht standardmäßig den anonymen Zugriff. Diese Standardeinstellung bedeutet, dass jeder das Portal und Inhalte wie APIs anzeigen kann, ohne sich anzumelden, obwohl Funktionen wie die Verwendung der Testkonsole eingeschränkt sind. Sie können eine Einstellung aktivieren, für die Benutzer sich anmelden müssen, um das Entwicklerportal anzuschauen. Wählen Sie im Azure-Portal im linken Menü Ihrer API-Verwaltungsinstanz unter EntwicklerportalIdentitäten>Einstellungen aus. Wählen Sie unter Anonyme BenutzerAnonyme Benutzer zur Anmeldeseite umleiten (aktivieren) aus.
Authentifizierungsoptionen
Externe Benutzer – Um den Zugriff auf das Entwicklerportal für externe Benutzer zu ermöglichen, verwenden Sie externe Identitätsanbieter, die über die externe Microsoft Entra-ID aktiviert sind.
- Sie möchten beispielsweise, dass Benutzer mithilfe vorhandener Social Media-Konten auf das Entwicklerportal zugreifen können.
- Der Dienst bietet Features zum Aktivieren der Registrierung und Anmeldung des Endbenutzers.
Derzeit unterstützt die API-Verwaltung externe Identitätsanbieter, wenn sie in Ihrem Microsoft Entra ID-Mitarbeitermandanten und nicht in einem externen Mandanten konfiguriert sind. Weitere Informationen finden Sie unter Wie man Entwicklerkonten mithilfe von Microsoft Entra External ID autorisiert.
Hinweis
Die API-Verwaltung bietet Legacy-Unterstützung für Azure Active Directory B2C als einen externen Identitätsanbieter. Es wird jedoch empfohlen, die externe Microsoft Entra-ID anstelle von Azure Active Directory B2C für neue Bereitstellungen des API Management-Entwicklerportals als externen Identitätsanbieter zu verwenden.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Interne Benutzer – Um internen Benutzern den Zugriff auf das Entwicklerportal zu ermöglichen, verwenden Sie Ihren Unternehmens-Microsoft Entra ID-Mandanten. Microsoft Entra ID bietet eine nahtlose SSO-Erfahrung (Single Sign-On) für Unternehmensbenutzer*innen, die über das Entwicklerportal auf APIs zugreifen und diese entdecken müssen.
Schritte zum Aktivieren der Microsoft Entra-Authentifizierung im Entwicklerportal finden Sie unter Autorisieren von Entwicklerkonten mithilfe von Microsoft Entra ID in Azure API Management.
Standardauthentifizierung – Verwenden Sie den integrierten Anbieter für Benutzername und Passwort im Entwicklerportal. Mit dieser Option können Entwickler sich direkt in der API-Verwaltung registrieren und sich mithilfe von API-Verwaltungsbenutzerkonten anmelden. Die Benutzerregistrierung über diese Option ist durch einen CAPTCHA-Dienst geschützt.
Achtung
Sie können zwar die Standardauthentifizierung verwenden, um den Zugriff der Benutzer auf das Entwicklerportal zu sichern, es wird jedoch empfohlen, eine sicherere Authentifizierungsmethode wie z. B. Microsoft Entra ID zu konfigurieren.
Testkonsole des Entwicklerportals
Das Entwicklerportal bietet nicht nur eine Konfiguration für Entwicklerbenutzer, um sich für den Zugriff zu registrieren und sich anzumelden, sondern enthält auch eine Testkonsole, über die die Entwickler Testanforderungen über API Management an die Back-End-APIs senden können. Diese Testeinrichtung existiert auch für beitragende Benutzer von API Management, die den Dienst über das Azure-Portal verwalten.
Wenn Sie die API sichern, die über Azure API Management mit OAuth 2.0 verfügbar gemacht wird – d. h. eine aufrufende Anwendung (Bearer) muss ein gültiges Zugriffstoken abrufen und übergeben – können Sie die API-Verwaltung so konfigurieren, dass ein gültiges Token im Auftrag eines Azure-Portals oder Eines Entwicklerportal-Testkonsolenbenutzers generiert wird. Weitere Informationen finden Sie unter Autorisieren der Testkonsole des Entwicklerportals durch Konfigurieren der OAuth 2.0-Benutzerautorisierung.
So aktivieren Sie die Testkonsole zum Abrufen eines gültigen OAuth 2.0-Tokens für API-Tests:
Fügen Sie Ihrer Instanz einen OAuth 2.0-Benutzerautorisierungsserver hinzu. Sie können einen beliebigen OAuth 2.0-Anbieter verwenden, einschließlich Microsoft Entra ID, Microsoft Entra External ID oder eines externen Identitätsanbieters.
Konfigurieren Sie die API mit Einstellungen für diesen Autorisierungsserver. Konfigurieren Sie im Portal die OAuth 2.0-Autorisierung auf der Seite Einstellungen der der API unter >Sicherheit>Benutzerautorisierung.
Diese OAuth-Konfiguration 2.0 für API-Tests ist unabhängig von der Konfiguration, die für den Benutzerzugriff auf das Entwicklerportal erforderlich ist. Der Identitätsanbieter und der Benutzer können jedoch identisch sein. Beispielsweise könnte eine Intranetanwendung den Benutzerzugriff auf das Entwicklerportal erfordern, indem sie SSO mit ihrer Unternehmensidentität verwendet. Dieselbe Unternehmensidentität könnte über die Testkonsole ein Token für den Backend-Dienst erhalten, der mit demselben Benutzerkontext aufgerufen wird.
Szenarien
Für unterschiedliche Szenarien gelten unterschiedliche Authentifizierungs- und Autorisierungsoptionen. In den folgenden Abschnitten werden Konfigurationen auf hoher Ebene für drei Beispielszenarien untersucht. Sie müssen weitere Schritte unternehmen, um APIs, die über die API-Verwaltung verfügbar gemacht werden, vollständig zu schützen und zu konfigurieren. Die Szenarien konzentrieren sich jedoch bewusst auf die jeweils empfohlenen Mindestkonfigurationen, um die erforderliche Authentifizierung und Autorisierung bereitzustellen.
Szenario 1 – Intranet-API und -Anwendungen
- Ein API-Verwaltungsmitwirkender und Back-End-API-Entwickler möchten eine API veröffentlichen, die durch OAuth 2.0 gesichert ist.
- Die API wird von Desktopanwendungen genutzt, deren Benutzer sich mit SSO über microsoft Entra ID anmelden.
- Die Desktopanwendungsentwickler müssen die APIs über das API-Verwaltungsentwicklerportal ermitteln und testen.
Schlüsselkonfigurationen:
| Konfiguration | Verweis |
|---|---|
| Autorisieren Sie Entwicklerbenutzer des API Management-Entwicklerportals mithilfe ihrer Unternehmensidentitäten und der Microsoft Entra-ID. | Autorisieren von Entwicklerkonten mithilfe von Microsoft Entra ID in Azure API Management |
| Richten Sie die Testkonsole im Entwicklerportal ein, um ein gültiges OAuth 2.0-Token für die Desktop-App-Entwickler zum Ausführen der Back-End-API zu erhalten. Dieselbe Konfiguration kann für die Testkonsole im Azure-Portal verwendet werden, auf das API Management-Mitwirkende und Back-End-Entwickler zugreifen können. Das Token kann in Kombination mit einem API-Verwaltungsabonnementschlüssel verwendet werden. |
Autorisieren der Testkonsole des Entwicklerportals durch Konfigurieren der OAuth 2.0-Benutzerautorisierung Abonnements in Azure API Management |
| Validieren Sie das OAuth 2.0-Token und Ansprüche, wenn eine API über API Management mit einem Zugriffstoken aufgerufen wird. | JWT-Richtlinie überprüfen |
Gehen Sie mit diesem Szenario noch einen Schritt weiter, indem Sie API Management in den Netzwerkperimeter verlagern und eingehenden Datenverkehr über einen Reverse-Proxy steuern. Eine Referenzarchitektur finden Sie unter Schützen von APIs mit Application Gateway und API Management.
Szenario 2 – Externe API, Partneranwendung
- Ein API Management-Mitwirkender und Back-End-API-Entwickler möchten schnell einen Machbarkeitsnachweis erstellen, um eine Legacy-API über Azure API Management verfügbar zu machen. Die API über die API-Verwaltung ist extern (Internet) zugänglich.
- Die API verwendet die Client-Zertifikatauthentifizierung und wird von einer neuen öffentlich zugänglichen Single-Page-Anwendung (SPA) genutzt, die von einem Partner im Ausland entwickelt wurde.
- Die SPA verwendet OAuth 2.0 mit OpenID Connect (OIDC).
- Anwendungsentwickler greifen in einer Testumgebung über das Entwicklerportal auf die API zu, indem sie einen Test-Backend-Endpunkt verwenden, um die Frontend-Entwicklung zu beschleunigen.
Schlüsselkonfigurationen:
| Konfiguration | Verweis |
|---|---|
| Konfigurieren Sie den Front-End-Entwicklerzugriff auf das Entwicklerportal mithilfe der Standardmäßigen Benutzernamen- und Kennwortauthentifizierung. Entwickler können auch zum Entwicklerportal eingeladen werden. |
Konfigurieren Sie Benutzer des Entwicklerportals so, dass sie sich mit Benutzernamen und Kennwörtern authentifizieren Verwalten von Benutzerkonten in Azure API Management |
| Validieren Sie das OAuth 2.0-Token und die Ansprüche, wenn die SPA API Management mit einem Zugriffstoken aufruft. In diesem Fall ist die Zielgruppe API Management. | JWT-Richtlinie überprüfen |
| Richten Sie API Management so ein, dass die Clientzertifikatauthentifizierung gegenüber dem Back-End verwendet wird. | Sichern von Back-End-Diensten über eine Clientzertifikatauthentifizierung in Azure API Management |
Um dieses Szenario weiter zu nutzen, verwenden Sie das Entwicklerportal mit microsoft Entra-Autorisierung und Microsoft Entra B2B-Zusammenarbeit , damit die Lieferpartner enger zusammenarbeiten können. Erwägen Sie, den Zugriff auf die API-Verwaltung über RBAC in einer Entwicklungs- oder Testumgebung zu delegieren und SSO mithilfe ihrer eigenen Unternehmensanmeldeinformationen in das Entwicklerportal zu aktivieren.
Szenario 3 – Externe API, SaaS, öffentlich zugänglich
Ein API-Verwaltungsmitwirkender und Back-End-API-Entwickler schreiben mehrere neue APIs, die Communityentwickler verwenden können.
Die APIs sind öffentlich verfügbar, aber die vollständige Funktionalität ist hinter einer Paywall geschützt und mithilfe von OAuth 2.0 gesichert. Nach dem Kauf einer Lizenz erhält der Entwickler seine eigenen Clientanmeldeinformationen und einen Abonnementschlüssel, der für die Produktionsverwendung gültig ist.
Externe Communityentwickler entdecken die APIs mithilfe des Entwicklerportals. Entwickler registrieren sich und melden sich mit ihren Social Media-Konten beim Entwicklerportal an.
Interessierte Entwicklerportalbenutzer mit einem Testabonnementschlüssel können die API-Funktionalität in einem Testkontext erkunden, ohne eine Lizenz erwerben zu müssen. Die Testkonsole des Entwicklerportals stellt die aufrufende Anwendung dar und generiert ein Standardzugriffstoken für die Back-End-API.
Achtung
Bei der Verwendung eines Ablaufs für Clientanmeldeinformationen mit der Testkonsole des Entwicklerportals ist besondere Vorsicht geboten. Siehe Sicherheitsüberlegungen.
Schlüsselkonfigurationen:
| Konfiguration | Verweis |
|---|---|
| Richten Sie Produkte in Azure API Management ein, um die Kombinationen von APIs darzustellen, die Sie Communityentwicklern zur Verfügung stellen. Richten Sie Abonnements ein, damit Entwickler die APIs nutzen können. |
Tutorial: Erstellen und Veröffentlichen eines Produkts Abonnements in Azure API Management |
| Konfigurieren Sie den Zugriff von Communityentwicklern auf das Entwicklerportal mithilfe der externen Microsoft Entra-ID. Die externe Microsoft Entra-ID kann dann so konfiguriert werden, dass sie mit einem oder mehreren nachgeschalteten Identitätsanbietern für soziale Medien funktioniert. | So autorisieren Sie Entwicklerkonten mithilfe der externen Microsoft Entra-ID in Azure API Management |
| Richten Sie die Testkonsole im Entwicklerportal ein, um ein gültiges OAuth 2.0-Token für die Back-End-API mithilfe des Clientanmeldeinformationsflusses abzurufen. |
Autorisieren der Testkonsole des Entwicklerportals durch Konfigurieren der OAuth 2.0-Benutzerautorisierung Passen Sie die in diesem Artikel gezeigten Konfigurationsschritte so an, dass der Grant-Flow für Clientanmeldeinformationen anstelle des Grant-Flows für Autorisierungscodes verwendet wird. |
Gehen Sie noch einen Schritt weiter, indem Sie Benutzerregistrierung oder Produktabonnement delegieren und den Prozess um Ihre eigene Logik erweitern.
Zugehöriger Inhalt
- Erfahren Sie mehr über Authentifizierung und Autorisierung in der Microsoft Identity Platform.
- Erfahren Sie, wie Sie OWASP-API-Sicherheitsbedrohungen mithilfe der API-Verwaltung mindern.