Autorize contas de desenvolvedor usando o ID do Microsoft Entra no Gerenciamento de API do Azure

Aplica-se a: Desenvolvedor | Básico v2 | Padrão | Standard v2 | Premium | Premium v2

Neste artigo, você aprenderá a:

Para obter uma visão geral das opções para proteger o portal do desenvolvedor, consulte Proteger o acesso ao portal do desenvolvedor Gerenciamento de API.

Para cenários envolvendo a ID Externa da Microsoft para permitir que identidades externas entrem no portal do desenvolvedor, consulte Autorizar o acesso ao portal do desenvolvedor do Gerenciamento de API usando a ID Externa do Microsoft Entra.

Pré-requisitos

• Conclua o guia de início rápido Criar uma instância do Gerenciamento de API do Azure.

• Importar e publicar uma instância do Gerenciamento de API do Azure.

• Se você criou sua instância em um nível v2, habilite o portal do desenvolvedor. Para obter mais informações, confira Tutorial: acessar e personalizar o portal do desenvolvedor.

Navegar até a instância de Gerenciamento de API

1. No portal do Azure, pesquise e selecione os serviços de Gerenciamento de API:

   

2. Na página Serviços de Gerenciamento de API , selecione sua instância de Gerenciamento de API:

   

Habilitar a entrada do usuário usando o Microsoft Entra ID: portal

Para simplificar a configuração, o Gerenciamento de API pode habilitar automaticamente um provedor de aplicativo e de identidade do Microsoft Entra para usuários do portal do desenvolvedor. Como alternativa, você pode habilitar manualmente o provedor de identidade e de aplicativo Microsoft Entra.

Habilitar automaticamente o aplicativo e o provedor de identidade do Microsoft Entra

Siga estas etapas para habilitar automaticamente a ID do Microsoft Entra no portal do desenvolvedor:

1. No menu à esquerda da instância do Gerenciamento de API, no Portal do desenvolvedor, selecione Visão geral do portal.

2. Na página Visão geral do portal, role para baixo até Habilitar a entrada do usuário com o Microsoft Entra ID.

3. Selecione Habilitar o Microsoft Entra ID.

4. Na página Habilitar o Microsoft Entra ID, selecione Habilitar o Microsoft Entra ID.

5. Selecione Fechar.

   

Depois que o provedor do Microsoft Entra estiver habilitado:

• Os usuários em seu locatário do Microsoft Entra podem entrar no portal do desenvolvedor usando uma conta do Microsoft Entra.
• Você pode gerenciar a configuração do provedor de identidade Microsoft Entra na página Identidades do > do Desenvolvedor.
• Opcionalmente, atualize o registro do aplicativo na ID do Microsoft Entra para dar suporte a vários locatários, conforme descrito em Configurar o registro de aplicativo para vários locatários. O nome do registro de aplicativo padrão criado pelo Gerenciamento de API é o mesmo que o nome da instância do Gerenciamento de API.
• Opcionalmente, defina outras configurações de entrada selecionando Identidades>Configurações. Por exemplo, talvez você queira redirecionar usuários anônimos para a página de entrada.
• Republique o portal do desenvolvedor após qualquer alteração de configuração.

Habilitar manualmente o aplicativo e o provedor de identidade do Microsoft Entra

Como alternativa, habilite manualmente a ID do Microsoft Entra no portal do desenvolvedor registrando um aplicativo por conta própria na ID do Microsoft Entra e configurando o provedor de identidade para o portal do desenvolvedor.

1. No menu à esquerda da instância do Gerenciamento de API, no Portal do desenvolvedor, selecione Identidades.

2. Selecione + Adicionar na parte superior para abrir o painel Adicionar provedor de identidade à direita.

3. Em Tipo, selecione Microsoft Entra ID no menu suspenso. Ao selecionar essa opção, você pode inserir outras informações necessárias.

   • Na lista suspensa Biblioteca de clientes, selecione MSAL.
   • Para adicionar a ID do cliente e o Segredo do cliente, consulte as etapas mais adiante no artigo.

4. Salve a URL de redirecionamento para depois.

   

5. No navegador, abra o portal do Azure em uma nova guia.

6. Navegue até registros de aplicativo para registrar um aplicativo na ID do Microsoft Entra.

7. Selecione Nova inscrição. Na página Registrar um aplicativo, defina os valores da seguinte forma:

   • Defina Nome como um nome significativo, como developer-portal
   • Defina tipos de conta com suporte, faça uma seleção apropriada para seus cenários. Se você quiser permitir que usuários em vários locatários do Microsoft Entra ID acessem o portal do desenvolvedor, selecione Contas em qualquer diretório organizacional (multilocatário).
   • No URI de redirecionamento, selecione SPA (aplicativo de página única) e cole a URL de redirecionamento salva em uma etapa anterior.
   • Selecione Registrar.

8. Depois de registrar o aplicativo, copie a ID do aplicativo (cliente) da página Visão geral .

9. Alterne para a guia do navegador com a instância do Gerenciamento de API.

10. Na janela Adicionar provedor de identidade, cole o valor ID do Aplicativo (cliente) na caixa ID do Cliente.

11. Alterne para a guia do navegador com o registro do aplicativo.

12. Selecione o registro de aplicativo apropriado.

13. Na seção Gerenciar do menu lateral, selecione Certificados & segredos.

14. Na página Certificados & segredos, selecione Novo segredo do cliente na seção Segredos do cliente.

    • Insira uma Descrição.
    • Selecione uma opção para Expira.
    • Escolha Adicionar.

15. Copie o valor do segredo do cliente mostrado antes de deixar a página. Ela será necessária em uma etapa posterior.

16. Em Gerenciar no menu lateral, selecione Configuração de token>e Adicionar declaração opcional.

    1. Em Tipo de token, selecione ID.
    2. Selecione (marque) as seguintes declarações: email, family_name, given_name.
    3. Selecione Adicionar. Se solicitado, selecione Ativar a permissão de perfil e email do Microsoft Graph.

17. Alterne para a guia do navegador com a instância do Gerenciamento de API.

18. Cole o segredo no campo Segredo do cliente no painel Adicionar provedor de identidade.

    Importante

    Atualize o Segredo do cliente antes de a chave expirar.

19. Em Entrar no locatário, especifique um nome do locatário ou ID a ser usado para entrar no Microsoft Entra. Se você não especificar um valor, o ponto de extremidade Comum será usado.

20. Em locatários permitidos, adicione um ou mais nomes ou IDs de locatários específicos do Microsoft Entra para logar no Microsoft Entra.

    Observação

    Se você especificar locatários adicionais, o registro do aplicativo deverá ser configurado para dar suporte a vários locatários. Para obter mais informações, consulte Configurar o registro de aplicativo para vários locatários.

21. Depois de especificar a configuração desejada, selecione Adicionar.

22. Republique o portal do desenvolvedor para que a configuração da Microsoft Entra entre em vigor. No menu à esquerda, em Portal do desenvolvedor, selecione Visão geral do portal>Publicar.

Depois que o provedor do Microsoft Entra estiver habilitado:

• Os usuários nos locatários especificados do Microsoft Entra podem entrar no portal do desenvolvedor usando uma conta do Microsoft Entra.
• Você poderá gerenciar a configuração do Microsoft Entra na página do Portal do desenvolvedor>Identidades no portal.
• Opcionalmente, defina outras configurações de entrada selecionando Identidades>Configurações. Por exemplo, talvez você queira redirecionar usuários anônimos para a página de entrada.
• Republique o portal do desenvolvedor após qualquer alteração de configuração.

Migrar para a MSAL

Se você configurou anteriormente um aplicativo do Microsoft Entra para entrada do usuário usando a ADAL, poderá usar o portal para migrar o aplicativo para a MSAL e atualizar o provedor de identidade no Gerenciamento de API.

Atualizar o aplicativo Microsoft Entra para compatibilidade com MSAL

Para obter as etapas, consulte Alternar URIs de redirecionamento para o tipo de aplicativo de página única.

Atualizar a configuração do provedor de identidade

1. No menu à esquerda da instância do Gerenciamento de API, no Portal do desenvolvedor, selecione Identidades.
2. Selecione Microsoft Entra ID na lista.
3. Na lista suspensa Biblioteca de clientes, selecione MSAL.
4. Selecione Atualização.
5. Republique o seu portal do desenvolvedor.

Configurar o acesso por usuários em mais de um locatário do Microsoft Entra

Você pode permitir o acesso ao portal do desenvolvedor por usuários de mais de um tenant do Microsoft Entra ID. Para fazer isso:

• Configure o registro de aplicativo para vários locatários.
• Atualize a configuração do provedor de identidade do Microsoft Entra ID para o portal do desenvolvedor para adicionar outro locatário.

Configurar o registro de aplicativo para vários locatários

O registro de aplicativo configurado para o provedor de identidade deve dar suporte a diversos locatários. Você pode fazer isso de qualquer uma das seguintes maneiras:

• Ao criar o registro do aplicativo, defina tipos de conta com suporte para contas em qualquer diretório organizacional (qualquer locatário da ID do Microsoft Entra – multilocatário).
• Se você configurou anteriormente um registro de aplicativo para um único locatário, atualize a configuração de tipos de conta com suporte na página Gerenciar>Autenticação do registro do aplicativo.

Atualizar a configuração do provedor de identidade do Microsoft Entra ID para vários locatários

Atualize a configuração do provedor de identidade para adicionar outro locatário:

1. Vá até a sua instância de Gerenciamento de API do Azure no portal do Azure.
2. No portal do Desenvolvedor, selecione Identidades.
3. Selecione Microsoft Entra ID na lista.
4. No campo ID do Locatário , adicione as IDs de locatário extras separadas por vírgulas.
5. Atualize o valor da conexão do locatário para um dos locatários configurados.
6. Selecione Atualização.
7. Republique o seu portal do desenvolvedor.

Adicionar um grupo externo do Microsoft Entra

Depois de habilitar o acesso para usuários em um locatário do Microsoft Entra, você poderá:

• Adicionar grupos do Microsoft Entra ao Gerenciamento de API. Você deve adicionar grupos no locatário em que implantou sua instância de Gerenciamento de API.
• Controlar a visibilidade do produto usando grupos do Microsoft Entra.

1. Vá para a página Registro de Aplicativo do aplicativo que você registrou na seção anterior.
2. Selecione Permissões de API.
3. Adicione as seguintes permissões mínimas de aplicativo para o API do Microsoft Graph:
   • User.Read.All permissão do aplicativo – para que o API Management possa ler a associação de grupos do usuário e realizar a sincronização de grupos quando o usuário fizer login.
   • Group.Read.All permissão do aplicativo, para que o Gerenciamento de API possa ler os grupos do Microsoft Entra quando um administrador tentar adicionar o grupo ao Gerenciamento de API ao usar a folha Grupos no portal.
4. Selecione Conceder consentimento do administrador para {tenantname} para conceder acesso a todos os usuários neste diretório.

Você adiciona grupos externos do Microsoft Entra na guia Grupos da instância do Gerenciamento de API.

1. Em Portal do desenvolvedor no menu lateral, selecione Grupos.

2. Selecione o botão Adicionar grupo do Microsoft Entra.

   

3. Selecione o Locatário na lista suspensa.

4. Procure e selecione o grupo que você quer adicionar.

5. Pressione o botão Selecionar.

Depois de adicionar um grupo externo do Microsoft Entra, você pode examinar e configurar suas propriedades:

1. Selecione o nome do grupo na guia Grupos.
2. Edite as informações de Nome e Descrição do grupo.

Os usuários da instância configurada do Microsoft Entra agora podem:

• Entre no portal do desenvolvedor.
• Exibir e se inscrever em todos os grupos para os quais há visibilidade.

Sincronizar os grupos do Microsoft Entra com o Gerenciamento de API

Os grupos configurados no Microsoft Entra devem ser sincronizados com o Gerenciamento de API para que você possa adicioná-los à sua instância. Se os grupos não sincronizarem automaticamente, use uma das seguintes etapas para sincronizar manualmente as informações do grupo:

• Saia e entre no Microsoft Entra ID. Essa atividade geralmente dispara a sincronização de grupos.
• Verifique se o locatário de entrada do Microsoft Entra é especificado da mesma maneira (usando uma ID de locatário ou nome de domínio) nas suas configurações no Gerenciamento de API. Especifique o locatário de login no provedor de identidade Microsoft Entra ID para o portal do desenvolvedor e quando você adicionar um grupo Microsoft Entra ao Gerenciamento de API.

Portal do Desenvolvedor: Adicionar autenticação de conta do Microsoft Entra

No portal do desenvolvedor, você pode habilitar a entrada com a ID do Microsoft Entra usando o botão Entrar: widget OAuth incluído na página de entrada do conteúdo padrão do portal do desenvolvedor.

Um usuário pode entrar com a ID do Microsoft Entra da seguinte maneira:

1. Acesse o portal do desenvolvedor. Selecione Entrar.

2. Na página Entrar , selecione a ID do Microsoft Entra. Ao selecionar este botão, abre-se a página de login da Identidade do Microsoft Entra.

   

   Dica

   Se mais de um locatário estiver configurado para acesso, mais de um botão de identificação do Microsoft Entra será exibido na página de login. Cada botão é rotulado com o nome do locatário.

3. Na janela de login do cliente Microsoft Entra, responda aos prompts. Depois que a entrada for concluída, o usuário será redirecionado de volta para o portal do desenvolvedor.

O usuário agora está conectado ao portal do desenvolvedor e adicionado como uma nova identidade de usuário do Gerenciamento de API nos Usuários.

Embora uma nova conta seja criada automaticamente quando um novo usuário entrar com a ID do Microsoft Entra, considere adicionar o mesmo widget à página de inscrição. O formulário de inscrição: o widget OAuth representa um formulário usado para se inscrever com o OAuth.

Conteúdo relacionado

• Saiba mais sobre o Microsoft Entra ID e o OAuth2.0.
• Saiba mais sobre a MSAL e a migração para a MSAL.
• Solucionar problemas da conectividade de rede com o Microsoft Graph de dentro de uma VNet.