Autoryzuj dostęp do API w centrum API

Ustawienia można skonfigurować tak, aby autoryzować dostęp do interfejsów API w centrum interfejsu API. Te ustawienia:

• Włączanie uwierzytelniania interfejsu API przy użyciu kluczy interfejsu API lub autoryzacji protokołu OAuth 2.0
• Skojarz określone metody uwierzytelniania z określonymi wersjami interfejsu API w spisie
• Zarządzanie uwierzytelnianiem w wersjach interfejsu API według wyznaczonych użytkowników lub grup za pomocą zasad dostępu
• Włączanie autoryzowanych użytkowników do testowania interfejsów API bezpośrednio w portalu Centrum interfejsów API

Wymagania wstępne

• Centrum API w subskrypcji Azure. Jeśli jeszcze go nie utworzono, zobacz Szybki start: tworzenie centrum interfejsu API.

• Zarejestruj co najmniej jeden interfejs API w centrum API. Aby uzyskać więcej informacji, zobacz Samouczek: rejestrowanie interfejsów API w spisie interfejsów API.

• Skonfiguruj środowisko i wdrożenie dla interfejsu API. Aby uzyskać więcej informacji, zobacz Samouczek: dodawanie środowisk i wdrożeń dla interfejsów API.

• Skonfiguruj portal Centrum API. Aby uzyskać więcej informacji, zobacz Konfigurowanie portalu centrum interfejsów API.

• Sejf kluczy platformy Azure do przechowywania kluczy API lub tajemnic klienta OAuth 2.0. Aby uzyskać instrukcje tworzenia magazynu kluczy, zobacz Tworzenie magazynu kluczy. Magazyn kluczy powinien wykorzystywać model uprawnień platformy Azure oparty na kontroli dostępu na podstawie ról (RBAC).

• (W przypadku autoryzacji OAuth 2.0 przy użyciu Microsoft Entra ID) Uprawnienia do tworzenia rejestracji aplikacji w dzierżawie Microsoft Entra, skojarzonej z subskrypcją platformy Azure.

Opcja 1. Konfigurowanie ustawień uwierzytelniania klucza interfejsu API

W przypadku API obsługującego uwierzytelnianie klucza API, wykonaj następujące kroki, aby skonfigurować ustawienia w centrum zarządzania API.

1. Przechowaj klucz interfejsu API w usłudze Azure Key Vault

Aby bezpiecznie zarządzać kluczem interfejsu API, zapisz go w usłudze Azure Key Vault i uzyskaj dostęp do magazynu kluczy przy użyciu tożsamości zarządzanej centrum interfejsu API.

Aby przechowywać klucz interfejsu API jako wpis tajny w magazynie kluczy, zobacz Ustawianie i pobieranie wpisu tajnego w usłudze Key Vault.

Włącz tożsamość zarządzaną w centrum API

W tym scenariuszu centrum API używa tożsamości zarządzanej do uzyskiwania dostępu do magazynu kluczy. W zależności od potrzeb, aktywuj zarządzaną tożsamość przypisaną przez system lub jedną lub więcej tożsamości zarządzanych przypisanych przez użytkownika.

W poniższym przykładzie pokazano, jak włączyć tożsamość zarządzaną przypisaną przez system przy użyciu witryny Azure Portal. Na wysokim poziomie kroki konfiguracji są podobne dla tożsamości zarządzanej przypisanej przez użytkownika.

1. W portalu przejdź do centrum API.
2. W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Tożsamości zarządzane.
3. Wybierz Przeznaczony przez system i ustaw stan na Włączony.
4. Wybierz Zapisz.

Przypisz rolę "Użytkownika Sekretów Key Vault" do tożsamości zarządzanej.

Przypisz tożsamości zarządzanej centrum API rolę Użytkownik sekretów Key Vault w magazynie kluczy. W poniższych krokach jest używana witryna Azure Portal.

1. W portalu przejdź do magazynu kluczy.
2. W menu po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami)..
3. Wybierz pozycję + Dodaj przypisanie roli.
4. Na stronie Dodawanie przypisania roli ustaw następujące wartości:
   1. Na karcie Rola wybierz pozycję Użytkownik tajemnic Key Vault.
   2. Na karcie Członkowie w obszarze Przypisz dostęp do wybierz pozycję Zarządzana tożsamość>+ Wybierz członków.
   3. Na stronie Wybieranie tożsamości zarządzanych wybierz tożsamość zarządzaną przypisaną przez system centrum interfejsu API, która została dodana w poprzedniej sekcji. Kliknij opcję Wybierz.
   4. Wybierz dwukrotnie pozycję Przejrzyj + przypisz.

2. Dodaj konfigurację klucza API w centrum API

1. W portalu przejdź do centrum API.

2. W menu po lewej stronie w obszarze Ład wybierz pozycję Autoryzacja (wersja zapoznawcza)>+ Dodaj konfigurację.

3. Na stronie Dodawanie konfiguracji ustaw wartości w następujący sposób:

   Ustawienie	Opis
   Tytuł	Wprowadź nazwę autoryzacji.
   Opis	Opcjonalnie wprowadź opis autoryzacji.
   Schemat zabezpieczeń	Wybierz Klucz interfejsu API.
   Lokalizacja klucza interfejsu API	Wybierz sposób prezentowania klucza w żądaniach interfejsu API. Dostępne wartości to Nagłówek (nagłówek żądania) i Zapytanie (parametr zapytania).
   Nazwa parametru klucza interfejsu API	Wprowadź nazwę nagłówka HTTP lub parametru zapytania zawierającego klucz interfejsu API. Przykład: x-api-key
   Odwołanie do tajemnicy klucza API w Key Vault	Kliknij Wybierz i wybierz subskrypcję, magazyn kluczy i tajny klucz, który został zapisany. Przykład: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>

4. Wybierz Utwórz.

Opcja 2. Konfigurowanie ustawień autoryzacji protokołu OAuth 2.0

W przypadku interfejsu API obsługującego autoryzację protokołu OAuth 2.0 wykonaj następujące kroki, aby skonfigurować ustawienia uwierzytelniania w centrum interfejsu API. Możesz skonfigurować ustawienia dla jednego lub obu następujących przepływów autoryzacji protokołu OAuth 2.0:

• Przepływ kodu autoryzacji za pomocą protokołu PKCE (klucz dowodowy dla wymiany kodu) — ten przepływ jest zalecany do uwierzytelniania użytkowników w przeglądarce, na przykład w portalu Centrum interfejsu API.
• Przepływ poświadczeń klienta — ten przepływ jest zalecany w przypadku aplikacji, które nie wymagają uprawnień określonego użytkownika do uzyskiwania dostępu do danych.

1. Tworzenie aplikacji OAuth 2.0

W przypadku autoryzacji OAuth 2.0 utwórz rejestrację aplikacji u dostawcy tożsamości, taką jak dzierżawa firmy Microsoft Entra skojarzona z subskrypcją platformy Azure. Dokładne kroki tworzenia zależą od używanego dostawcy tożsamości.

W poniższym przykładzie pokazano, jak utworzyć rejestrację aplikacji w usłudze Microsoft Entra ID.

1. Zaloguj się do portalu Azure przy użyciu konta z wystarczającymi uprawnieniami w najemcy.
2. Przejdź do Microsoft Entra ID>+ Nowa rejestracja.
3. Na stronie Rejestrowanie aplikacji wprowadź ustawienia rejestracji aplikacji:
   1. W polu Nazwa wprowadź zrozumiałą nazwę aplikacji.
   2. W Obsługiwane typy kont wybierz opcję, która odpowiada Twojemu scenariuszowi, na przykład Konta w tym katalogu organizacyjnym (Pojedynczy najemca).
   3. (W przypadku przepływu kodu autoryzacji) W polu Identyfikator URI przekierowania wybierz pozycję Aplikacja jednostronicowa (SPA) i ustaw identyfikator URI. Wprowadź identyfikator URI wdrożenia portalu centrum API w następującej postaci: https://<service-name>.portal.<location>.azure-api-center.ms. Zastąp <service name> i <location> nazwą centrum API oraz lokalizacją, w której jest wdrożone, przykład: https://myapicenter.portal.eastus.azure-api-center.ms
   4. Wybierz pozycję Zarejestruj.
4. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Certyfikaty i wpisy tajne, a następnie wybierz pozycję + Nowy wpis tajny klienta.
   1. Wprowadź opis.
   2. Wybierz opcję Wygasa.
   3. Wybierz Dodaj.
   4. Skopiuj wartość tajemnicy klienta przed opuszczeniem strony. Będzie ona potrzebna w poniższej sekcji.
5. Opcjonalnie dodaj zakresy interfejsu API w rejestracji aplikacji. Więcej informacji można znaleźć w temacie Konfigurowanie aplikacji w celu uwidocznienia internetowego interfejsu API.

Podczas konfigurowania autoryzacji protokołu OAuth 2.0 w centrum interfejsu API potrzebne będą następujące wartości z rejestracji aplikacji:

• Identyfikator aplikacji (klienta) ze strony Przegląd rejestracji aplikacji oraz wcześniej skopiowana tajemnica klienta.
• Następujące adresy URL punktów końcowych na stronie Przegląd>punktów końcowych rejestracji aplikacji:
  • Punkt końcowy autoryzacji OAuth2.0 (wersja 2) — punkt końcowy autoryzacji dla identyfikatora Entra firmy Microsoft
  • Punkt końcowy tokenu OAuth 2.0 (wersja 2) — punkt końcowy tokenu i punkt końcowy odświeżania tokenu dla identyfikatora Entra firmy Microsoft
• Wszystkie zakresy API skonfigurowane w rejestracji aplikacji.

2. Zapisz sekret klienta w Azure Key Vault

Aby bezpiecznie zarządzać sekretem, zapisz go w Azure Key Vault i uzyskaj dostęp do klucza tajnego przy użyciu tożsamości zarządzanej centrum API.

Aby przechowywać klucz interfejsu API jako wpis tajny w magazynie kluczy, zobacz Ustawianie i pobieranie wpisu tajnego w usłudze Key Vault.

Włącz tożsamość zarządzaną w centrum API

W tym scenariuszu centrum API używa tożsamości zarządzanej do uzyskiwania dostępu do magazynu kluczy. W zależności od potrzeb, aktywuj zarządzaną tożsamość przypisaną przez system lub jedną lub więcej tożsamości zarządzanych przypisanych przez użytkownika.

W poniższym przykładzie pokazano, jak włączyć tożsamość zarządzaną przypisaną przez system przy użyciu witryny Azure Portal. Na wysokim poziomie kroki konfiguracji są podobne dla tożsamości zarządzanej przypisanej przez użytkownika.

1. W portalu przejdź do centrum API.
2. W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Tożsamości zarządzane.
3. Wybierz Przeznaczony przez system i ustaw stan na Włączony.
4. Wybierz Zapisz.

Przypisz rolę "Użytkownika Sekretów Key Vault" do tożsamości zarządzanej.

Przypisz tożsamości zarządzanej centrum API rolę Użytkownik sekretów Key Vault w magazynie kluczy. W poniższych krokach jest używana witryna Azure Portal.

1. W portalu przejdź do magazynu kluczy.
2. W menu po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami)..
3. Wybierz pozycję + Dodaj przypisanie roli.
4. Na stronie Dodawanie przypisania roli ustaw następujące wartości:
   1. Na karcie Rola wybierz pozycję Użytkownik tajemnic Key Vault.
   2. Na karcie Członkowie w obszarze Przypisz dostęp do wybierz pozycję Zarządzana tożsamość>+ Wybierz członków.
   3. Na stronie Wybieranie tożsamości zarządzanych wybierz tożsamość zarządzaną przypisaną przez system centrum interfejsu API, która została dodana w poprzedniej sekcji. Kliknij opcję Wybierz.
   4. Wybierz dwukrotnie pozycję Przejrzyj + przypisz.

3. Dodawanie autoryzacji OAuth 2.0 w centrum interfejsu API

1. W portalu przejdź do centrum API.

2. W menu po lewej stronie w obszarze Ład wybierz pozycję Autoryzacja (wersja zapoznawcza)>+ Dodaj konfigurację.

3. Na stronie Dodawanie konfiguracji ustaw następujące wartości:

   

   Uwaga / Notatka

   Skonfiguruj ustawienia na podstawie wcześniej utworzonej rejestracji aplikacji w usługodawcy tożsamości. Jeśli używasz Microsoft Entra ID, znajdź identyfikator klienta na stronie Przegląd rejestracji aplikacji i znajdź punkty końcowe adresów URL na stronie Przegląd>.

   Ustawienie	Opis
   Tytuł	Wprowadź nazwę autoryzacji.
   Opis	Opcjonalnie wprowadź opis autoryzacji.
   Schemat zabezpieczeń	Wybierz pozycję OAuth2.
   identyfikator klienta	Wprowadź identyfikator GUID klienta aplikacji, którą utworzyłeś u dostawcy tożsamości.
   Klucz tajny klienta	Kliknij pozycję Wybierz i wybierz zapisaną subskrypcję, skarbiec kluczy i tajny klucz klienta. Przykład: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>
   Adres URL autoryzacji	Wprowadź punkt końcowy autoryzacji OAuth 2.0 dla dostawcy tożsamości. Przykład dla identyfikatora Entra firmy Microsoft: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize
   Adres URL tokenu	Wprowadź punkt końcowy tokenu OAuth 2.0 dla dostawcy tożsamości. Przykład dla identyfikatora Entra firmy Microsoft: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   Odśwież adres URL	Wprowadź punkt końcowy odświeżania tokenu OAuth 2.0 dla dostawcy tożsamości. W przypadku większości dostawców jest to samo, co adres URL tokenu Przykład dla identyfikatora Entra firmy Microsoft: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   Przepływ OAuth2	Wybierz jeden lub oba przepływy protokołu OAuth 2.0, których chcesz użyć. Dostępne wartości to kod autoryzacji (PKCE) i poświadczenia klienta.
   Zakresy	Wprowadź jeden lub więcej zakresów skonfigurowanych dla twojego interfejsu API, oddzielonych spacjami. Jeśli nie skonfigurowano zakresów, wprowadź .default.

4. Wybierz pozycję Utwórz , aby zapisać konfigurację.

Dodawanie konfiguracji uwierzytelniania do wersji interfejsu API

Po skonfigurowaniu ustawień klucza API lub przepływu OAuth 2.0 dodaj klucz API lub konfigurację OAuth 2.0 do wersji API w konsoli API.

1. W portalu przejdź do centrum API.
2. W menu po lewej stronie w obszarze Zasoby wybierz pozycję Interfejsy API.
3. Wybierz interfejs API, z którym chcesz skojarzyć konfigurację autoryzacji.
4. W menu po lewej stronie w obszarze Szczegóły wybierz pozycję Wersje.
5. Wybierz wersję interfejsu API, do której chcesz dodać konfigurację uwierzytelniania.
6. W menu po lewej stronie w obszarze Szczegóły wybierz pozycję Zarządzaj dostępem (wersja zapoznawcza)>+ Dodaj uwierzytelnianie.
7. Na stronie Dodawanie uwierzytelniania wybierz dostępną konfigurację uwierzytelniania , którą chcesz skojarzyć.
8. Wybierz Utwórz.

Zarządzanie dostępem według określonych użytkowników lub grup

Można zarządzać dostępem dla określonych użytkowników lub grup w organizacji do konfiguracji uwierzytelniania wersji API. W tym celu należy skonfigurować zasady dostępu, które przypisują użytkownikom lub grupom rolę Czytelnik dostępu poświadczeń API Center, z ograniczeniem do określonych konfiguracji uwierzytelniania w wersji API. Jest to przydatne, na przykład, jeśli chcesz zezwolić tylko określonym użytkownikom na testowanie interfejsu API w portalu Centrum API przy użyciu klucza API lub przepływu OAuth 2.0.

1. W portalu przejdź do centrum API.

2. Przejdź do wersji interfejsu API, do której dodano konfigurację uwierzytelniania (zobacz poprzednią sekcję).

3. W menu po lewej stronie w obszarze Szczegóły wybierz pozycję Zarządzaj dostępem (wersja zapoznawcza).

4. Wybierz listę rozwijaną Edytuj zasady dostępu na końcu wiersza dla konfiguracji uwierzytelniania, której dostęp chcesz zarządzać.

5. Na stronie Zarządzanie dostępem wybierz pozycję + Dodaj > użytkowników lub + Dodaj > grupy.

6. Wyszukaj i wybierz użytkowników (lub grupy), które chcesz dodać. Możesz wybrać wiele elementów.

7. Kliknij opcję Wybierz.

Testowanie interfejsu API w portalu API Center

Portal centrum interfejsów API umożliwia przetestowanie interfejsu API skonfigurowanego pod kątem uwierzytelniania i dostępu użytkowników.

1. W portalu przejdź do centrum API.

2. W menu po lewej stronie w obszarze Portal centrum interfejsu API wybierz pozycję Ustawienia portalu.

3. Wybierz pozycję Wyświetl portal Centrum interfejsów API.

4. W portalu Centrum interfejsów API wybierz interfejs API, który chcesz przetestować.

5. Wybierz wersję interfejsu API, która ma skonfigurowaną metodę uwierzytelniania.

6. W obszarze Opcje wybierz pozycję Wyświetl dokumentację.

7. Wybierz operację w interfejsie API i wybierz pozycję Wypróbuj ten interfejs API.

8. W wyświetlonym oknie przejrzyj ustawienia uwierzytelniania. Jeśli masz dostęp do interfejsu API, wybierz pozycję Wyślij , aby wypróbować interfejs API.

9. Jeśli operacja zakończy się pomyślnie, zobaczysz 200 OK kod odpowiedzi i treść odpowiedzi. Jeśli operacja zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie.

Treści powiązane

• Konfiguracja portalu Centrum API
• Włączanie widoku portalu Centrum interfejsów API platformy Azure w programie Visual Studio Code
• Uwierzytelnianie i autoryzacja do interfejsów API w usłudze Azure API Management