Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
DOTYCZY: Wszystkie warstwy usługi API Management
W tym artykule dowiesz się o konfigurowaniu dostawców tożsamości dla połączeń zarządzanych w instancji usługi Azure API Management. Wyświetlane są ustawienia następujących typowych dostawców:
- Microsoft Entra
- Ogólny protokół OAuth 2
Należy skonfigurować dostawcę poświadczeń w menedżerze poświadczeń w wystąpieniu usługi API Management. Aby zapoznać się z przykładem krok po kroku konfigurowania dostawcy i połączenia firmy Microsoft Entra, zobacz Konfigurowanie menedżera poświadczeń — interfejs API programu Microsoft Graph.
Wymagania wstępne
Aby skonfigurować dowolnego z obsługiwanych dostawców w usłudze API Management, najpierw skonfiguruj aplikację OAuth 2.0 u dostawcy tożsamości, która będzie używana do autoryzowania dostępu do interfejsu API. Aby uzyskać szczegółowe informacje o konfiguracji, zobacz dokumentację dewelopera dostawcy.
Jeśli tworzysz dostawcę poświadczeń, który używa typu udzielania kodu autoryzacji, skonfiguruj adres URL przekierowania (czasami nazywany adresem URL wywołania zwrotnego autoryzacji lub podobną nazwą) w aplikacji. Dla wartości wprowadź wartość
https://authorization-manager.consent.azure-apim.net/redirect/apim/<API-management-instance-name>.W zależności od scenariusza skonfiguruj ustawienia aplikacji, takie jak zakresy (uprawnienia interfejsu API).
Co najmniej pobierz następujące poświadczenia aplikacji, które zostaną skonfigurowane w usłudze API Management: identyfikator klienta aplikacji i klucz tajny klienta.
W zależności od dostawcy i scenariusza może być konieczne pobranie innych ustawień, takich jak adresy URL punktu końcowego autoryzacji lub zakresy.
Punkty końcowe autoryzacji dostawcy muszą być dostępne przez Internet z wystąpienia usługi API Management. Jeśli wystąpienie usługi API Management jest zabezpieczone w sieci wirtualnej, skonfiguruj reguły sieci lub zapory, aby zezwolić na dostęp do punktów końcowych dostawcy.
Dostawca usługi Microsoft Entra
Menedżer poświadczeń usługi API Management obsługuje dostawcę tożsamości firmy Microsoft Entra, który jest usługą tożsamości na platformie Azure, która zapewnia funkcje zarządzania tożsamościami i kontroli dostępu. Umożliwia użytkownikom bezpieczne logowanie się za pomocą standardowych protokołów branżowych.
Obsługiwane typy udzielania: kod autoryzacji, poświadczenia klienta
Uwaga
Obecnie dostawca poświadczeń entra firmy Microsoft obsługuje tylko punkty końcowe usługi Azure Active Directory w wersji 1.0.
Ustawienia dostawcy entra firmy Microsoft
| Właściwości | Opis | Wymagani | Wartość domyślna |
|---|---|---|---|
| Nazwa dostawcy poświadczeń | Nazwa zasobu dostawcy poświadczeń w usłudze API Management. | Tak | Nie dotyczy |
| Dostawca tożsamości | Wybierz pozycję Azure Active Directory v1. | Tak | Nie dotyczy |
| Typ udzielenia | Typ udzielania autoryzacji OAuth 2.0 do użycia. W zależności od scenariusza wybierz pozycję Kod autoryzacji lub Poświadczenia klienta. |
Tak | Kod autoryzacji |
| Adres URL autoryzacji | Adres URL autoryzacji. | Nie. | https://login.microsoftonline.com |
| identyfikator klienta | Identyfikator aplikacji (klienta) używany do identyfikowania aplikacji Microsoft Entra. | Tak | Nie dotyczy |
| Klucz tajny klienta | Klucz tajny klienta używany dla aplikacji Microsoft Entra. | Tak | Nie dotyczy |
| Adres URL zasobu | Adres URL zasobu, który wymaga autoryzacji. Przykład: https://graph.microsoft.com |
Tak | Nie dotyczy |
| Identyfikator najemcy | Identyfikator dzierżawy aplikacji Microsoft Entra. | Nie. | wspólny |
| Zakresy | Jedno lub więcej uprawnień interfejsu API dla aplikacji Microsoft Entra, oddzielonych spacjami. Przykład: ChannelMessage.Read.All User.Read |
Nie. | Uprawnienia API skonfigurowane w aplikacji Microsoft Entra |
Ogólne dostawcy protokołu OAuth
Do konfigurowania połączeń można użyć trzech ogólnych dostawców:
- Ogólne uwierzytelnianie OAuth 2.0
- Ogólny protokół OAuth 2.0 z protokołem PKCE
- Ogólny OAuth 2.1 z PKCE i DCR
Dostawca ogólny umożliwia korzystanie z własnego dostawcy tożsamości OAuth na podstawie określonych potrzeb.
Uwaga
Zalecamy użycie dostawcy PKCE w celu zwiększenia bezpieczeństwa, jeśli dostawca tożsamości go obsługuje. Aby uzyskać więcej informacji, zobacz Proof Key for Code Exchange (Klucz dowodowy dla wymiany kodu).
Obsługiwane typy udzielania: kod autoryzacji, poświadczenia klienta (zależy od dostawcy)
Ogólne ustawienia dostawcy poświadczeń
| Właściwości | Opis | Wymagani | Wartość domyślna |
|---|---|---|---|
| Nazwa dostawcy poświadczeń | Nazwa zasobu dostawcy poświadczeń w usłudze API Management. | Tak | Nie dotyczy |
| Dostawca tożsamości | Wybierz pozycję OAuth 2.0, OAuth 2.0 z protokołem PKCE lub OAuth 2.1 z protokołem PKCE i dcR. | Tak | Nie dotyczy |
| Typ udzielenia | Typ udzielania autoryzacji OAuth 2.0 do użycia. W zależności od scenariusza i dostawcy tożsamości wybierz pozycję Kod autoryzacji lub Poświadczenia klienta. |
Tak | Kod autoryzacji |
| Adres URL autoryzacji | Adres URL punktu końcowego autoryzacji. | Tak, w przypadku PKCE | NIEUŻYWANE dla protokołu OAuth 2.0 |
| identyfikator klienta | Identyfikator używany do identyfikacji aplikacji na serwerze autoryzacyjnym dostawcy tożsamości. | Tak | Nie dotyczy |
| Klucz tajny klienta | Sekret używany przez aplikację do uwierzytelniania się z serwerem autoryzacji dostawcy tożsamości. | Tak | Nie dotyczy |
| Odśwież adres URL | Adres URL, na który aplikacja wysyła żądanie w celu wymiany tokenu odświeżania na odnowiony token dostępu. | Tak, w przypadku PKCE | NIEUŻYWANE dla protokołu OAuth 2.0 |
| Adres URL serwera | Adres URL serwera podstawowego. | Tak, w przypadku OAuth 2.1 z PKCE i DCR | Nie dotyczy |
| Adres URL tokenu | Adres URL serwera autoryzacyjnego dostawcy tożsamości, używany do programowego wysyłania żądań o tokeny. | Tak | Nie dotyczy |
| Zakresy | Co najmniej jedną konkretną akcję, którą aplikacja może wykonać, lub informacje, których może zażądać w imieniu użytkownika z interfejsu API, oddzielone spacjami. Przykład: user web api openid |
Nie. | Nie dotyczy |
Inni dostawcy tożsamości
Usługa API Management obsługuje kilku dostawców popularnych ofert SaaS, w tym GitHub, LinkedIn i innych. Podczas tworzenia dostawcy poświadczeń możesz wybrać z listy tych dostawców w witrynie Azure Portal.
Obsługiwane typy udzielania: kod autoryzacji
Wymagane ustawienia dla tych dostawców różnią się w zależności od dostawcy, ale są podobne do tych dla ogólnych dostawców OAuth. Zapoznaj się z dokumentacją dla deweloperów dla każdego dostawcy.
Uwaga
Obecnie dostawca usługi Salesforce nie zawiera oświadczenia o wygaśnięciu w swoich tokenach. W związku z tym menedżer poświadczeń nie może wykryć, kiedy te tokeny wygasają i nie uwidacznia mechanizmu wymuszania odświeżania. W przypadku dostawcy usługi Salesforce potrzebna jest niestandardowa logika odświeżania, aby ręcznie ponownie uwierzytelnić połączenie, aby uzyskać nowy token po wygaśnięciu bieżącego tokenu.
Powiązana zawartość
- Dowiedz się więcej o zarządzaniu połączeniami w usłudze API Management.
- Utwórz połączenie dla interfejsu API programu Microsoft Graph lub interfejsu API usługi GitHub.