Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APLICA-SE A: todas as camadas do Gerenciamento de API
Neste artigo, você aprenderá a configurar provedores de identidade para conexões gerenciadas em sua instância de Gerenciamento de API do Azure. As configurações para os seguintes provedores comuns são mostradas:
- Microsoft Entra
- OAuth 2 genérico
Configure um provedor de credenciais no gerenciador de credenciais em sua instância de Gerenciamento de API. Para obter um exemplo passo a passo de configuração de um provedor e conexão do Microsoft Entra, consulte Configurar o gerenciador de credenciais – API do Microsoft Graph.
Pré-requisitos
Para configurar qualquer um dos provedores com suporte no Gerenciamento de API, primeiro configure um aplicativo OAuth 2.0 no provedor de identidade que será usado para autorizar o acesso à API. Para obter detalhes de configuração, consulte a documentação do desenvolvedor do provedor.
Se você estiver criando um provedor de credenciais que usa o tipo de concessão de código de autorização, configure uma URL de redirecionamento (às vezes chamada de URL de Retorno de Chamada de Autorização ou um nome semelhante) no aplicativo. Para obter o valor, insira
https://authorization-manager.consent.azure-apim.net/redirect/apim/<API-management-instance-name>.Dependendo do cenário, defina configurações de aplicativo como escopos (permissões de API).
No mínimo, recupere as seguintes credenciais de aplicativo que serão configuradas no Gerenciamento de API: a ID do cliente e o segredo do cliente do aplicativo.
Dependendo do provedor e do seu cenário, talvez seja necessário recuperar outras configurações, como URLs de ponto de extremidade da autorização ou escopos.
Os pontos de extremidade de autorização do provedor devem ser acessíveis pela Internet da instância de Gerenciamento de API. Se sua instância de Gerenciamento de API estiver protegida em uma rede virtual, configure regras de rede ou firewall para permitir o acesso aos pontos de extremidade do provedor.
Provedor do Microsoft Entra
O gerenciador de credenciais de Gerenciamento de API dá suporte ao provedor de identidade do Microsoft Entra, que é o serviço de identidade no Azure que fornece recursos de gerenciamento de identidade e controle de acesso. Ele permite que os usuários entrem com segurança por meio de protocolos padrão do setor.
Tipo de concessão com suporte: código de autorização, credenciais do cliente
Observação
Atualmente, o provedor de credenciais do Microsoft Entra dá suporte somente a endpoints do Azure Active Directory v1.0.
Configurações do provedor do Microsoft Entra
| Propriedade | Descrição | Obrigatório | Padrão |
|---|---|---|---|
| Nome do provedor de credenciais | O nome do recurso do provedor de credenciais no Gerenciamento de API. | Sim | N/D |
| Provedor de identidade | Selecione o Azure Active Directory v1. | Sim | N/D |
| Tipo de concessão | O tipo de concessão de autorização OAuth 2.0 a ser usado. Dependendo do cenário, selecione Código de autorização ou Credenciais do cliente. |
Sim | Código de autorização |
| URL de Autorização | A URL de autorização. | Não | https://login.microsoftonline.com |
| ID do cliente | A ID do aplicativo (cliente) usada para identificar o aplicativo Microsoft Entra. | Sim | N/D |
| Segredo do cliente | O segredo do cliente (client secret) usado para o aplicativo da Microsoft Entra. | Sim | N/D |
| URL do recurso | A URL do recurso que requer autorização. Exemplo: https://graph.microsoft.com |
Sim | N/D |
| ID do locatário | A ID do locatário do aplicativo Microsoft Entra. | Não | comum |
| Escopos | Uma ou mais permissões de API para seu aplicativo Microsoft Entra, separadas por espaços. Exemplo: ChannelMessage.Read.All User.Read |
Não | Permissões de API definidas no aplicativo Microsoft Entra |
Provedores OAuth genéricos
Você pode usar três provedores genéricos para configurar conexões:
- OAuth 2.0 genérico
- OAuth 2.0 genérico com PKCE
- OAuth 2.1 genérico com PKCE e DCR
Um provedor genérico permite que você use seu próprio provedor de identidade OAuth, com base em suas necessidades específicas.
Observação
É recomendável usar um provedor PKCE para melhorar a segurança se o provedor de identidade der suporte a ele. Para obter mais informações, consulte Proof Key para Code Exchange.
Tipos de concessão com suporte: código de autorização, credenciais do cliente (depende do provedor)
Configurações genéricas do provedor de credenciais
| Propriedade | Descrição | Obrigatório | Padrão |
|---|---|---|---|
| Nome do provedor de credenciais | O nome do recurso do provedor de credenciais no Gerenciamento de API. | Sim | N/D |
| Provedor de identidade | Selecione OAuth 2.0, OAuth 2.0 com PKCE ou OAuth 2.1 com PKCE com DCR. | Sim | N/D |
| Tipo de concessão | O tipo de concessão de autorização OAuth 2.0 a ser usado. Dependendo do cenário e do provedor de identidade, selecione Código de autorização ou Credenciais do cliente. |
Sim | Código de autorização |
| URL de Autorização | A URL do ponto de extremidade da autorização. | Sim, para PKCE | Não utilizado para OAuth 2.0 |
| ID do cliente | O ID usado para identificar um aplicativo no servidor de autorização do fornecedor de identidade. | Sim | N/D |
| Segredo do cliente | O segredo usado pelo aplicativo para autenticar com o servidor de autorização do provedor de identidade. | Sim | N/D |
| Atualizar URL | A URL para a qual seu aplicativo faz uma solicitação para trocar um token de atualização por um token de acesso renovado. | Sim, para PKCE | Não utilizado para OAuth 2.0 |
| URL do servidor | A URL do servidor base. | Sim, para OAuth 2.1 com PKCE com DCR | N/D |
| Token URL | O URL no servidor de autorização do provedor de identidade usado para solicitar tokens de forma programática. | Sim | N/D |
| Escopos | Uma ou mais ações específicas que o aplicativo tem permissão para fazer ou informações que ele pode solicitar em nome de um usuário de uma API, separadas por espaços. Exemplo: user web api openid |
Não | N/D |
Outros provedores de identidade
O Gerenciamento de API dá suporte a vários provedores para ofertas de SaaS populares, incluindo o GitHub, LinkedIn e outros. Você pode selecionar em uma lista desses provedores no portal do Azure ao criar um provedor de credenciais.
Tipos de concessão com suporte: código de autorização
As configurações necessárias para esses provedores diferem, dependendo do provedor, mas são semelhantes às dos provedores OAuth genéricos. Consulte a documentação do desenvolvedor para cada provedor.
Observação
Atualmente, o provedor Salesforce não inclui uma informação de expiração em seus tokens. Como resultado, o Gerenciador de Credenciais não pode detectar quando esses tokens expiram e não expõe um mecanismo para forçar a atualização. Com o provedor Salesforce, você precisa de uma lógica específica de atualização para reautorizar manualmente a conexão e obter um novo token quando o token atual expirar.
Conteúdo relacionado
- Saiba mais sobre como gerenciar conexões no Gerenciamento de API.
- Crie uma conexão para a API do Microsoft Graph ou a API do GitHub.