Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APLICA-SE A: todas as camadas do Gerenciamento de API
Este artigo fornece detalhes sobre os fluxos de processo para gerenciar conexões OAuth 2.0 usando o gerenciador de credenciais no Gerenciamento de API do Azure. Os fluxos de processo são divididos em duas partes: gerenciamento e runtime.
Para obter informações sobre o gerenciador de credenciais no Gerenciamento de API, consulte Sobre o gerenciador de credenciais e as credenciais de API no Gerenciamento de API.
Gerenciamento de conexões
A parte de gerenciamento de conexões no gerenciador de credenciais cuida da configuração e configuração de um provedor de credenciais para tokens OAuth 2.0, habilitando o fluxo de consentimento para o provedor e configurando uma ou mais conexões com o provedor de credenciais para acesso às credenciais.
A imagem a seguir resume o fluxo de processo para criar uma conexão no Gerenciamento de API que usa o tipo de concessão de código de autorização.
| Passo | Description |
|---|---|
| 1 | O cliente envia uma solicitação para criar um provedor de credenciais. |
| 2 | O provedor de credenciais é criado e uma resposta é enviada de volta. |
| 3 | O cliente envia uma solicitação para criar uma conexão. |
| 4 | A conexão é criada e uma resposta é enviada de volta com as informações de que a conexão não está "conectada". |
| 5 | O cliente envia uma solicitação para recuperar uma URL de logon para iniciar o consentimento do OAuth 2.0 no provedor de credenciais. A solicitação inclui uma URL pós-redirecionamento a ser usada na última etapa. |
| 6 | A resposta é retornada com uma URL de logon que deve ser usada para iniciar o fluxo de consentimento. |
| 7 | O cliente abre um navegador com a URL de logon fornecida na etapa anterior. O navegador é redirecionado para o fluxo de consentimento OAuth 2.0 do provedor de credenciais. |
| 8 | Depois que o consentimento for aprovado, o navegador será redirecionado com um código de autorização para a URL de redirecionamento configurada no provedor de credenciais. |
| 9 | O Gerenciamento de APIs usa o código de autorização para buscar tokens de acesso e de atualização. |
| 10 | O Gerenciamento de API recebe os tokens e os criptografa. |
| 11 | O serviço de gerenciamento de API redireciona para a URL fornecida na etapa 5. |
Provedor de credenciais
Ao configurar seu provedor de credenciais, você pode escolher entre diferentes provedores OAuth e tipos de concessão (código de autorização ou credencial de cliente). Cada provedor requer configurações específicas. Coisas importantes para ter em mente:
- Uma configuração de provedor de credenciais só pode ter um tipo de concessão.
- Uma configuração de provedor de credenciais pode ter várias conexões.
Observação
Com o provedor OAuth 2.0 genérico, outros provedores de identidade que dão suporte aos padrões do fluxo do OAuth 2.0 podem ser usado.
Quando você configura um provedor de credenciais, o gerenciador de credenciais cria um repositório de credenciais nos bastidores usado para armazenar em cache os tokens de acesso OAuth 2.0 do provedor e atualizar tokens.
Conexão com um provedor de credenciais
Para acessar e usar tokens para um provedor, os aplicativos cliente precisam de uma conexão com o provedor de credenciais. Uma determinada conexão é autorizada pelas políticas de acesso com base nas IDs do Microsoft Entra. Você pode configurar várias conexões para um provedor.
O processo de configuração de uma conexão difere com base na concessão configurada e é específico para a configuração do provedor de credenciais. Por exemplo, se você quiser configurar a ID do Microsoft Entra para usar ambos os tipos de concessão, precisará de duas configurações de provedor de credenciais. A tabela a seguir resume os dois tipos de concessão.
| Tipo de concessão | Description |
|---|---|
| Código de Autorização | Associado a um contexto de usuário, o que significa que um usuário precisa consentir com a conexão. Desde que o token de atualização seja válido, o Gerenciamento de API poderá recuperar novos tokens de acesso e atualização. Se o token de atualização se tornar inválido, o usuário precisará reautorizar. Todos os provedores de credenciais dão suporte ao código de autorização. Saiba mais |
| Credenciais do cliente | Não está associado a um usuário e geralmente é usado em cenários de aplicativo para aplicativo. Nenhum consentimento é necessário para o tipo de concessão de credenciais do cliente e a conexão não se torna inválida. Saiba mais |
Consentimento
Para conexões com base no tipo de concessão de código de autorização, você deve autenticar no provedor e consentir com a autorização. Após o logon e a autorização bem-sucedidos pelo provedor de credenciais, o provedor retorna tokens válidos de acesso e atualização, que são criptografados e salvos pelo Gerenciamento de API.
Política de acesso
Você configura uma ou mais políticas de acesso para cada conexão. As políticas de acesso determinam quais identidades do Microsoft Entra ID podem obter acesso às suas credenciais ao tempo de execução. Atualmente, as conexões dão suporte ao acesso usando entidades de serviço, a identidade, os usuários e os grupos da instância de Gerenciamento de API.
| Identidade | Description | Benefícios | Considerações |
|---|---|---|---|
| Entidade de serviço | Identidade cujos tokens podem ser usados para autenticar e conceder acesso a recursos específicos do Azure quando uma organização usa a ID do Microsoft Entra. Usando uma entidade de serviço, as organizações evitam a criação de usuários fictícios para gerenciar a autenticação quando precisam acessar um recurso. Uma entidade de serviço é uma identidade do Microsoft Entra que representa um aplicativo registrado do Microsoft Entra. | Permite acesso com escopo mais rígido a cenários de conexão e delegação de usuário. Não está vinculado a uma instância específica do Gerenciamento de API. Depende da ID do Microsoft Entra para a imposição de permissões. | Obter o contexto de autorização requer um token de ID do Microsoft Entra. |
Identidade gerenciada <Your API Management instance name> |
Essa opção corresponde a uma identidade gerenciada vinculada à instância de Gerenciamento de API. | Por padrão, o acesso é fornecido à identidade gerenciada atribuída pelo sistema para a instância de gerenciamento de API correspondente. | A identidade está vinculada à instância de Gerenciamento de API. Qualquer pessoa com acesso de Colaborador à instância de Gerenciamento de API pode acessar qualquer conexão que conceda permissões de identidade gerenciada. |
| Usuários ou grupos | Usuários ou grupos em seu locatário do Microsoft Entra ID. | Permite limitar o acesso a usuários ou grupos específicos de usuários. | Requer que os usuários tenham uma conta do Microsoft Entra ID. |
Tempo de Execução das Conexões
A parte de execução requer que uma API OAuth 2.0 backend seja configurada com a política get-authorization-context. Em runtime, a política busca e armazena tokens de acesso e de atualização do repositório de credenciais configurado pelo Gerenciamento de API para o provedor. Quando uma chamada entra no Gerenciamento de API e a get-authorization-context política é executada, ela primeiro valida se o token de autorização existente é válido. Se o token de autorização tiver expirado, o Gerenciamento de API usará um fluxo OAuth 2.0 para atualizar os tokens armazenados do provedor de credenciais. Em seguida, o token de acesso é usado para autorizar o acesso ao serviço de back-end.
Durante a execução da política, o acesso aos tokens também é validado usando políticas de acesso.
A imagem a seguir mostra um fluxo de processo de exemplo para buscar e armazenar tokens de autorização e atualização com base em uma conexão que usa o tipo de concessão de código de autorização. Depois que os tokens são recuperados, uma chamada é feita para a API de back-end.
| Passo | Description |
|---|---|
| 1 | O cliente envia a solicitação para a instância de Gerenciamento de API. |
| 2 | A política get-authorization-context verifica se o token de acesso é válido para a conexão atual. |
| 3 | Se o token de acesso tiver expirado, mas o token de atualização for válido, o Gerenciamento de API tentará buscar novos tokens de acesso e atualização do provedor de credenciais configurado. |
| 4 | O provedor de credenciais retorna um token de acesso e um token de atualização, que são criptografados e salvos no Gerenciamento de API. |
| 5 | Depois que os tokens são recuperados, o token de acesso é anexado como um cabeçalho de autorização à solicitação de saída para a API de backend, usando a política set-header. |
| 6 | A resposta é retornada ao Gerenciamento de API. |
| 7 | A resposta é retornada ao cliente. |
Conteúdo relacionado
- Visão geral do gerenciador de credenciais
- Configurar provedores de credenciais para o gerenciador de credenciais
- Configurar e usar uma conexão para a API do Microsoft Graph ou a API do GitHub
- Configurar várias conexões de autorização para um provedor
- Configurar uma conexão para acesso delegado pelo usuário