Como autorizar contas de desenvolvedor usando provedores de identidade externos na ID Externa do Microsoft Entra

APPLIES TO: Desenvolvedor | Básico v2 | Padrão | Standard v2 | Premium | Premium v2

A ID Externa do Microsoft Entra é uma solução de gerenciamento de identidade de nuvem que permite que identidades externas acessem com segurança seus aplicativos e recursos. Você pode usá-lo para gerenciar o acesso ao portal do desenvolvedor do Gerenciamento de API por identidades externas.

Para obter uma visão geral das opções para proteger o acesso ao portal do desenvolvedor, consulte Acesso seguro ao portal do desenvolvedor do Gerenciamento de API.

Atualmente, o Gerenciamento de API dá suporte a provedores de identidade externos na ID Externa do Microsoft Entra quando configurado em um locatário da força de trabalho do Microsoft Entra ID. Por exemplo, se você estiver habilitando o acesso ao portal do desenvolvedor por usuários em seu locatário de força de trabalho, como a organização Contoso, talvez você queira configurar o Google ou o Facebook como um provedor de identidade externo para que esses usuários externos também possam entrar usando suas contas. Saiba mais sobre as configurações de força de trabalho e de locatários externos no Microsoft External ID.

Pré-requisitos

• Um tenant do Microsoft Entra ID (locatário da força de trabalho) no qual você deve habilitar o acesso externo.
• Permissões para criar um aplicativo e configurar fluxos dos usuários no locatário da força de trabalho.
• Uma instância de Gerenciamento de API. Se você ainda não tiver uma, crie uma instância de Gerenciamento de API do Azure.
• Se você criou sua instância em uma camada v2, habilite o portal do desenvolvedor. Para obter mais informações, consulte Tutorial: Acessar e personalizar o portal do desenvolvedor.

Adicionar um provedor de identidade externo ao seu locatário

Para esse cenário, você deve habilitar um provedor de ID externa em seu ambiente de trabalho. A configuração do provedor de identidade externo depende do provedor específico e está fora do escopo deste artigo. Para ver opções e links para etapas, consulte Provedores de identidade para identificação externa em locatários da força de trabalho.

Habilitar a entrada do usuário usando o Microsoft Entra ID: portal

Para simplificar a configuração, o Gerenciamento de API pode habilitar automaticamente um provedor de aplicativo e de identidade do Microsoft Entra para usuários do portal do desenvolvedor. Como alternativa, você pode habilitar manualmente o provedor de identidade e de aplicativo Microsoft Entra.

Habilitar automaticamente o aplicativo e o provedor de identidade do Microsoft Entra

Siga estas etapas para habilitar automaticamente a ID do Microsoft Entra no portal do desenvolvedor:

1. No menu à esquerda da instância do Gerenciamento de API, no Portal do desenvolvedor, selecione Visão geral do portal.

2. Na página Visão geral do portal, role para baixo até Habilitar a entrada do usuário com o Microsoft Entra ID.

3. Selecione Habilitar o Microsoft Entra ID.

4. Na página Habilitar o Microsoft Entra ID, selecione Habilitar o Microsoft Entra ID.

5. Selecione Fechar.

   

Depois que o provedor do Microsoft Entra estiver habilitado:

• Os usuários em seu locatário do Microsoft Entra podem entrar no portal do desenvolvedor usando uma conta do Microsoft Entra.
• Você pode gerenciar a configuração do provedor de identidade do Microsoft Entra na página Desenvolvedor>Identidades no portal.
• Opcionalmente, atualize o registro do aplicativo na ID do Microsoft Entra para dar suporte a vários locatários, conforme descrito em Configurar o registro de aplicativo para vários locatários. O nome do registro de aplicativo padrão criado pelo Gerenciamento de API é o mesmo que o nome da instância do Gerenciamento de API.
• Opcionalmente, defina outras configurações de entrada selecionando Identidades>Configurações. Por exemplo, talvez você queira redirecionar usuários anônimos para a página de entrada.
• Republique o portal do desenvolvedor após qualquer alteração de configuração.

Habilitar manualmente o aplicativo e o provedor de identidade do Microsoft Entra

Como alternativa, habilite manualmente a ID do Microsoft Entra no portal do desenvolvedor registrando um aplicativo por conta própria na ID do Microsoft Entra e configurando o provedor de identidade para o portal do desenvolvedor.

1. No menu à esquerda da instância do Gerenciamento de API, no Portal do desenvolvedor, selecione Identidades.

2. Selecione + Adicionar na parte superior para abrir o painel Adicionar provedor de identidade à direita.

3. Em Tipo, selecione Microsoft Entra ID no menu suspenso. Ao selecionar essa opção, você pode inserir outras informações necessárias.

   • Na lista suspensa Biblioteca do cliente, selecione MSAL.
   • Para adicionar a ID do cliente e o Segredo do cliente, consulte as etapas mais adiante no artigo.

4. Salve a URL de redirecionamento para depois.

   

5. No navegador, abra o portal do Azure em uma nova guia.

6. Navegue até registros de aplicativo para registrar um aplicativo na ID do Microsoft Entra.

7. Selecione Novo registro. Na página Registrar um aplicativo, defina os valores da seguinte forma:

   • Defina Nome como um nome significativo, como developer-portal
   • Defina tipos de conta com suporte, faça uma seleção apropriada para seus cenários. Se você quiser permitir que usuários em vários locatários do Microsoft Entra ID acessem o portal do desenvolvedor, selecione Contas em qualquer diretório organizacional (multilocatário).
   • No URI de redirecionamento, selecione SPA (aplicativo de página única) e cole a URL de redirecionamento salva em uma etapa anterior.
   • Selecione Registrar.

8. Depois de registrar o aplicativo, copie a ID do aplicativo (cliente) da página Visão geral .

9. Alterne para a guia do navegador com a instância do Gerenciamento de API.

10. Na janela Adicionar provedor de identidade, cole o valor ID do Aplicativo (cliente) na caixa ID do Cliente.

11. Alterne para a guia do navegador com o registro do aplicativo.

12. Selecione o registro de aplicativo apropriado.

13. Na seção Gerenciar do menu lateral, selecione Certificados & segredos.

14. Na página Certificados & segredos, selecione Novo segredo do cliente na seção Segredos do cliente.

    • Insira uma Descrição.
    • Selecione qualquer opção para Expira.
    • Escolha Adicionar.

15. Copie o valor do segredo do cliente mostrado antes de deixar a página. Ela será necessária em uma etapa posterior.

16. Em Gerenciar no menu lateral, selecione Configuração de token>e Adicionar declaração opcional.

    1. Em Tipo de token, selecione ID.
    2. Selecione (verifique) as seguintes declarações: email, family_name, given_name.
    3. Selecione Adicionar. Se solicitado, selecione Ativar o email do Microsoft Graph, permissão de perfil.

17. Alterne para a guia do navegador com a instância do Gerenciamento de API.

18. Cole o segredo no campo Segredo do cliente no painel Adicionar provedor de identidade.

    Importante

    Atualize o Segredo do cliente antes de a chave expirar.

19. Em Entrar no locatário, especifique um nome do locatário ou ID a ser usado para entrar no Microsoft Entra. Se você não especificar um valor, o ponto de extremidade Comum será usado.

20. Em locatários permitidos, adicione um ou mais nomes de locatário ou IDs específicos do Microsoft Entra para fazer login no Microsoft Entra.

    Observação

    Se você especificar locatários adicionais, o registro do aplicativo deverá ser configurado para dar suporte a vários locatários. Para obter mais informações, consulte Configurar o registro de aplicativo para vários locatários.

21. Depois de especificar a configuração desejada, selecione Adicionar.

22. Republice o portal do desenvolvedor para que a configuração do Microsoft Entra entre em vigor. No menu à esquerda, em Portal do desenvolvedor, selecione Visão geral do portal>Publicar.

Depois que o provedor do Microsoft Entra estiver habilitado:

• Os usuários nos locatários especificados do Microsoft Entra podem entrar no portal do desenvolvedor usando uma conta do Microsoft Entra.
• Você poderá gerenciar a configuração do Microsoft Entra na página do Portal do desenvolvedor>Identidades no portal.
• Opcionalmente, defina outras configurações de entrada selecionando Identidades>Configurações. Por exemplo, talvez você queira redirecionar usuários anônimos para a página de entrada.
• Republique o portal do desenvolvedor após qualquer alteração de configuração.

Habilitar o registro automático para seu cliente

Para permitir que usuários externos se registrem para acesso ao portal do desenvolvedor, conclua as seguintes etapas:

• Habilite a inscrição de autoatendimento para o locatário externo.
• Adicione seu aplicativo ao fluxo de usuário de cadastro de autoatendimento.

Para obter mais informações e etapas detalhadas, confira Adicionar fluxos de usuário de inscrição de autoatendimento para colaboração B2B.

Iniciar sessão no portal do desenvolvedor com ID externa do Microsoft Entra

No portal do desenvolvedor, você pode habilitar a entrada com a ID Externa do Microsoft Entra usando o botão de entrada: widget OAuth . O widget já está incluído na página de entrada do conteúdo do portal do desenvolvedor padrão.

Um usuário pode entrar com a ID Externa do Microsoft Entra da seguinte maneira:

1. Acesse o portal do desenvolvedor. Selecione Entrar.

2. Na página Entrar , selecione a ID do Microsoft Entra.

   

   Dica

   Se você configurar mais de um locatário do Microsoft Entra para acesso, aparecerá mais de um botão Microsoft Entra ID na página de login. Cada botão é rotulado com o nome do locatário.

3. Na janela de entrada do locatário do Microsoft Entra, selecione opções de entrada. Selecione o provedor de identidade externo configurado em seu locatário do Microsoft Entra para entrar. Por exemplo, se você configurou o Google como um provedor de identidade, selecione Entrar com o Google.

   

4. Para continuar o login, responda às solicitações. Depois que a entrada for concluída, o usuário será redirecionado de volta para o portal do desenvolvedor.

O usuário agora está conectado ao portal do desenvolvedor, adicionado como uma nova identidade de usuário do Gerenciamento de API em Usuários e adicionado como um novo usuário de locatário externo no Microsoft Entra ID.

Conteúdo relacionado

• Proteger o acesso ao Developer Portal do API Management
• Autorizar o acesso ao portal do desenvolvedor de Gerenciamento de API usando a ID do Microsoft Entra
• Introdução à Identidade Externa do Microsoft Entra
• Recursos com suporte em locatários da força de trabalho e externos