Integración de un complemento de API con una API protegida con una clave

  • 2 minutos

Una de las formas comunes de proteger las API es mediante claves de API. Las claves de API son cadenas arbitrarias que los propietarios de la API emiten para concederle acceso a la API. Muchos servicios populares usan claves de API para proteger el acceso a sus API. El proveedor de API que emite controles de claves de API si una clave le proporciona acceso a toda la superficie de API y a todos los recursos o solo a una parte específica de ella. El servicio también controla cuánto tiempo es válida una clave.

Las claves de API son fáciles de usar gracias a su simplicidad. Para llamar a una API protegida con una clave de API, todo lo que debe hacer es incluir la clave de API en la solicitud de API. A continuación, la API valida la clave y controla la solicitud o la rechaza con un error de autenticación o autorización. Sin embargo, esta simplicidad tiene un costo. Las claves de API no autentican al usuario, lo que significa que la API no puede actuar en nombre del usuario. Todos los usuarios que llaman a la API con la misma clave de API tienen los mismos permisos.

Cada proveedor de API define cómo espera que pase la clave de API con las solicitudes. Por ejemplo, una API puede requerir que use un parámetro de cadena de consulta específico o un encabezado de solicitud.

Microsoft 365 Copilot admite el paso de claves de API como:

  • Json Web Token (JWT)
GET https://api.contoso.com/orders
Authorization: Bearer API_KEY
  • Parámetro de cadena de consulta
GET https://api.contoso.com/orders?api_key=API_KEY
  • Encabezado personalizado
GET https://api.contoso.com/orders
X-API-Key: API_KEY

Una clave de API es un valor secreto que nunca debe compartir públicamente. Al compilar un complemento de API que se integra con una API protegida con una clave de API, se almacena la clave de API en una ubicación de almacenamiento segura en Microsoft 365, también conocida como almacén. A continuación, en la aplicación, hace referencia al identificador de la entrada del almacén. En tiempo de ejecución, el agente declarativo carga el complemento (2) y resuelve el identificador de entrada en la clave de API real (3a) que usa para llamar a la API (3b). En el diagrama siguiente se muestra este proceso.

Diagrama de cómo un agente declarativo ejecuta un complemento de API conectado a una API protegida con una clave.

Almacenar la clave de API en el almacén le permite administrar de forma segura la clave de API sin exponerla públicamente. Además, dado que la aplicación no hace referencia directamente a la clave de API, puede actualizarla sin tener que actualizarla.

Durante el desarrollo, puede registrar su clave de API de desarrollo en el almacén manualmente, ya sea en el Portal para desarrolladores de Teams y en la sección Herramientas , abriendo el registro de claves de API, o bien mediante microsoft 365 Agents Toolkit. En producción, normalmente un administrador registra la clave de API y le proporciona el identificador de la entrada del almacén que se va a usar en el complemento de API.

Captura de pantalla de la página de registro de claves de API en el Portal para desarrolladores de Teams.