Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S'APPLIQUE À : Tous les niveaux de Gestion des API
Dans cet article, vous allez découvrir comment configurer des fournisseurs d’identité pour les connexions managées dans votre instance Gestion des API Azure. Les paramètres des fournisseurs courants suivants sont indiqués :
- Microsoft Entra
- OAuth 2 générique
Vous configurez un fournisseur d’informations d’identification dans le gestionnaire d’informations d’identification de votre instance Gestion des API. Pour obtenir un exemple pas à pas de configuration d’un fournisseur Et d’une connexion Microsoft Entra, consultez Configurer le gestionnaire d’informations d’identification - API Microsoft Graph.
Prérequis
Pour configurer n’importe quel fournisseur pris en charge dans le service Gestion des API, configurez d’abord une application OAuth 2.0 dans le fournisseur d’identité qui sera utilisé pour autoriser l’accès à l’API. Pour plus d’informations sur la configuration, consultez la documentation développeur du fournisseur.
Si vous créez un fournisseur d’informations d’identification qui utilise le type d’octroi de code d’autorisation, configurez une URL de redirection (parfois appelée URL de rappel d’autorisation ou un nom similaire) dans l’application. Pour la valeur, entrez
https://authorization-manager.consent.azure-apim.net/redirect/apim/<API-management-instance-name>.Selon votre scénario, configurez les paramètres d’application tels que les étendues (autorisations d’API).
Récupérez au minimum les informations d’identification de l’application suivantes, qui seront configurées dans le service Gestion des API : l’ID client et la clé secrète client de l’application.
Selon le fournisseur et votre scénario, vous devrez peut-être récupérer d’autres paramètres, tels que les URL de point de terminaison d’autorisation ou les étendues.
Les points de terminaison d'autorisation du fournisseur doivent être accessibles sur l'internet depuis votre instance de Gestion des API. Si votre instance de Gestion des API est sécurisée dans un réseau virtuel, configurez les règles du réseau ou du pare-feu pour autoriser l'accès aux points d'extrémité du fournisseur.
Fournisseur Microsoft Entra
Le gestionnaire des informations d'identification pour la gestion des API intègre le fournisseur d’identité Microsoft Entra, qui est le service d’identité dans Azure offrant des fonctionnalités de gestion des identités et de contrôle d’accès. Il permet aux utilisateurs de se connecter en toute sécurité via des protocoles standard.
Types d’autorisation pris en charge : code d’autorisation, informations d’identification du client
Remarque
Actuellement, le fournisseur d’informations d’identification Microsoft Entra prend uniquement en charge les points de terminaison Azure Active Directory v1.0.
Paramètres du fournisseur Microsoft Entra
| Propriété | Description | Obligatoire | Default |
|---|---|---|---|
| Nom du fournisseur d’informations d’identification | Nom de la ressource du fournisseur d’informations d’identification dans Gestion des API. | Oui | N/A |
| Fournisseur d’identité | Sélectionnez Azure Active Directory v1. | Oui | N/A |
| Type d’octroi | Type d’octroi d’autorisation OAuth 2.0 à utiliser. Selon votre scénario, sélectionnez Code d’autorisation ou Informations d’identification du client. |
Oui | Code d’autorisation |
| URL d’autorisation | URL d’autorisation. | Non | https://login.microsoftonline.com |
| ID du client | ID d’application (client) utilisé pour identifier l’application Microsoft Entra. | Oui | N/A |
| Clé secrète client | Clé secrète client utilisée pour l’application Microsoft Entra. | Oui | N/A |
| URL de ressource | URL de la ressource qui nécessite une autorisation. Exemple : https://graph.microsoft.com |
Oui | N/A |
| ID de locataire | ID de locataire de votre application Microsoft Entra. | Non | commun |
| Étendues | Une ou plusieurs autorisations d’API pour votre application Microsoft Entra, séparées par des espaces. Exemple : ChannelMessage.Read.All User.Read |
Non | Autorisations d’API définies dans l’application Microsoft Entra |
Fournisseurs OAuth génériques
Vous pouvez utiliser trois fournisseurs génériques pour la configuration des connexions :
- Generic OAuth 2.0
- OAuth 2.0 générique avec PKCE
- OAuth 2.1 générique avec PKCE avec DCR
Un fournisseur générique vous permet d’utiliser votre propre fournisseur d’identité OAuth, en fonction de vos besoins spécifiques.
Remarque
Nous vous recommandons d’utiliser un fournisseur PKCE pour améliorer la sécurité si votre fournisseur d’identité le prend en charge. Pour plus d’informations, consultez La clé de preuve pour l’échange de code.
Types d’autorisation pris en charge : code d’autorisation, informations d’identification du client (en fonction du fournisseur)
Paramètres du fournisseur d’informations d’identification générique
| Propriété | Description | Obligatoire | Default |
|---|---|---|---|
| Nom du fournisseur d’informations d’identification | Nom de la ressource du fournisseur d’informations d’identification dans Gestion des API. | Oui | N/A |
| Fournisseur d’identité | Sélectionnez OAuth 2.0, OAuth 2.0 avec PKCE ou OAuth 2.1 avec PKCE avec DCR. | Oui | N/A |
| Type d’octroi | Type d’octroi d’autorisation OAuth 2.0 à utiliser. Selon votre scénario et votre fournisseur d’identité, sélectionnez Code d’autorisation ou Informations d’identification du client. |
Oui | Code d’autorisation |
| URL d’autorisation | URL de l'endpoint d'autorisation. | Oui, pour PKCE | INUTILISÉ pour OAuth 2.0 |
| ID du client | ID utilisé pour identifier une application sur le serveur d’autorisation du fournisseur d’identité. | Oui | N/A |
| Clé secrète client | Secret utilisé par l’application pour s’authentifier auprès du serveur d’autorisation du fournisseur d’identité. | Oui | N/A |
| URL d’actualisation | URL à laquelle votre application effectue une demande afin d’échanger un jeton d’actualisation pour un jeton d’accès renouvelé. | Oui, pour PKCE | INUTILISÉ pour OAuth 2.0 |
| URL du serveur | URL du serveur de base. | Oui, pour OAuth 2.1 avec PKCE avec DCR | N/A |
| URL du jeton | URL sur le serveur d’autorisation du fournisseur d’identité, utilisée pour demander des jetons par programmation. | Oui | N/A |
| Étendues | Une ou plusieurs actions spécifiques que l’application est autorisée à effectuer ou à des informations qu’elle peut demander au nom d’un utilisateur à partir d’une API, séparées par des espaces. Exemple : user web api openid |
Non | N/A |
Autres fournisseurs d’identité
Le service Gestion des API prend en charge plusieurs fournisseurs pour les offres SaaS courantes, y compris GitHub et LinkedIn. Vous pouvez sélectionner ces fournisseurs à partir d’une liste sur le portail Azure quand vous créez un fournisseur d’informations d’identification.
Types d’octroi pris en charge : code d’autorisation
Les paramètres requis pour ces fournisseurs diffèrent, selon le fournisseur, mais sont similaires à ceux des fournisseurs OAuth génériques. Consultez la documentation du développeur pour chaque fournisseur.
Remarque
Actuellement, le fournisseur Salesforce n’inclut pas de revendication d’expiration dans ses jetons. Par conséquent, le Gestionnaire d’informations d’identification ne peut pas détecter quand ces jetons expirent et n’expose pas de mécanisme pour forcer l’actualisation. Avec le fournisseur Salesforce, vous avez besoin d’une logique d’actualisation personnalisée pour réauthoriser manuellement la connexion pour obtenir un nouveau jeton lorsque le jeton actuel expire.
Contenu connexe
- En savoir plus sur la gestion des connexions dans Gestion des API.
- Créez une connexion pour l’API Microsoft Graph ou l’API GitHub.