Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APPLIES TO: Desenvolvedor | Básico | Básico v2 | Padrão | Standard v2 | Premium | Premium v2
O Gerenciamento de API também fornece um portal de desenvolvedor gerenciado totalmente personalizável e autônomo, que pode ser usado externamente (ou internamente) para permitir que os usuários desenvolvedores descubram as APIs publicadas e interajam com elas por meio do Gerenciamento de API. O portal do desenvolvedor tem várias opções para facilitar a inscrição e a entrada seguras do usuário.
Observação
Por padrão, o portal do desenvolvedor habilita o acesso anônimo. Essa configuração padrão significa que qualquer pessoa pode exibir o portal e o conteúdo, como APIs, sem entrar, embora a funcionalidade, como usar o console de teste, seja restrita. Você pode habilitar uma configuração que exige que os usuários entrem para exibir o portal do desenvolvedor. No portal do Azure, no menu à esquerda da instância de Gerenciamento de API, em portal do Desenvolvedor, selecione Identidades>Configurações. Em Usuários anônimos, selecione (habilitar) Redirecionar usuários anônimos para entrarem na página.
Opções de autenticação
Usuários externos – Para habilitar o acesso ao portal do desenvolvedor para usuários externos, use provedores de identidade externos habilitados por meio da ID Externa do Microsoft Entra.
- Por exemplo, você deseja que os usuários acessem o portal do desenvolvedor usando contas de mídia social existentes.
- O serviço fornece recursos para habilitar a experiência de inscrição e entrada do usuário final.
Atualmente, o Gerenciamento de API dá suporte a provedores de identidade externos quando configurados no locatário da força de trabalho do Microsoft Entra ID, não em um locatário externo. Para obter mais informações, consulte Como autorizar contas de desenvolvedor usando a ID Externa do Microsoft Entra.
Observação
O Gerenciamento de API fornece suporte herdado para o Azure Active Directory B2C como um provedor de identidade externo. No entanto, recomendamos que você use o Microsoft Entra External ID como um provedor de identidade externo em vez do Azure Active Directory B2C para novas implantações do portal de desenvolvedores do Gerenciamento de API.
Importante
A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.
Usuários internos para habilitar o acesso ao portal do desenvolvedor para usuários internos, use o locatário corporativo (força de trabalho) do Microsoft Entra ID. O Microsoft Entra ID proporciona uma experiência de SSO (logon único) perfeita para usuários corporativos que precisam acessar e descobrir as APIs por meio do portal do desenvolvedor.
Para obter etapas para habilitar a autenticação do Microsoft Entra no portal do desenvolvedor, consulte Como autorizar contas de desenvolvedor usando o Microsoft Entra ID no Gerenciamento de API do Azure.
Autenticação básica – use o provedor de senha e o nome de usuário do portal do desenvolvedor interno. Essa opção permite que os desenvolvedores se registrem diretamente no Gerenciamento de API e entrem usando contas de usuário do Gerenciamento de API. O registro de usuário por meio dessa opção é protegido por um serviço CAPTCHA.
Atenção
Embora você possa usar a autenticação básica para proteger o acesso dos usuários ao portal do desenvolvedor, recomendamos configurar um método de autenticação mais seguro, como a ID do Microsoft Entra.
Console de teste do portal do desenvolvedor
Além de fornecer configuração para que os usuários desenvolvedores se inscrevam para acesso e entrem, o portal do desenvolvedor inclui um console de teste onde os desenvolvedores podem enviar solicitações de teste por meio do Gerenciamento de API para as APIs de back-end. Esse recurso de teste também existe para contribuir com usuários do Gerenciamento de API que gerenciam o serviço usando o portal do Azure.
Se você proteger a API exposta por meio do Gerenciamento de API do Azure com o OAuth 2.0 – ou seja, um aplicativo de chamada (portador) precisa obter e passar um token de acesso válido – você pode configurar o Gerenciamento de API para gerar um token válido em nome de um usuário do portal do Azure ou do console de teste do portal do desenvolvedor. Para obter mais informações, consulte Como autorizar o console de teste do portal do desenvolvedor configurando a autorização de usuário do OAuth 2.0.
Para habilitar o console de teste a obter um token OAuth 2.0 válido para teste de API:
Adicionar um servidor de autorização de usuário OAuth 2.0 à sua instância. Você pode usar qualquer provedor OAuth 2.0, incluindo a ID do Microsoft Entra, a ID Externa do Microsoft Entra ou um provedor de identidade de terceiros.
Defina a API com configurações para esse servidor de autorização. No portal, configurar a autorização OAuth 2.0 na página Configurações da API >Segurança>Autorização de usuário.
Essa configuração do OAuth 2.0 para teste de API é independente da configuração necessária para acesso do usuário ao portal do desenvolvedor. No entanto, o provedor de identidade e o usuário podem ser os mesmos. Por exemplo, um aplicativo de intranet pode exigir acesso do usuário ao portal do desenvolvedor usando o SSO com sua identidade corporativa. Essa mesma identidade corporativa pode obter um token, por meio do console de teste, para o serviço de back-end chamado com o mesmo contexto de usuário.
Cenários
Diferentes opções de autenticação e autorização se aplicam a diferentes cenários. As seções a seguir exploram configurações de alto nível para três cenários de exemplo. Você precisa executar mais etapas para proteger e configurar totalmente as APIs expostas por meio do Gerenciamento de API. No entanto, os cenários se concentram intencionalmente nas configurações mínimas recomendadas em cada caso para fornecer a autenticação e a autorização necessárias.
Cenário 1 – API e aplicativos da Intranet
- Um colaborador do Gerenciamento de API e desenvolvedor de API de back-end deseja publicar uma API protegida pelo OAuth 2.0.
- A API é consumida por aplicativos da área de trabalho cujos usuários se conectam usando o SSO por meio da ID do Microsoft Entra.
- Os desenvolvedores de aplicativos de desktop precisam descobrir e testar as APIs por meio do portal para desenvolvedores do API Management.
Principais configurações:
| Configuração | Referência |
|---|---|
| Autorize usuários desenvolvedores do portal do desenvolvedor do Gerenciamento de API ao usar as suas identidades corporativas e o Microsoft Entra ID. | Autorizar contas de desenvolvedor usando o Microsoft Entra ID no Gerenciamento de API do Azure |
| Configure o console de teste no portal do desenvolvedor para obter um token OAuth 2.0 válido para que os desenvolvedores de aplicativo de desktop exercitem a API de back-end. A mesma configuração pode ser usada para o console de teste no portal do Azure, que é acessível para os colaboradores Gerenciamento de API e desenvolvedores de back-end. O token pode ser usado em combinação com uma chave de assinatura do Gerenciamento de API. |
Como autorizar o console de teste do portal do desenvolvedor configurando a autorização de usuário do OAuth 2.0 Assinaturas no Gerenciamento de API do Azure |
| Valide o token OAuth 2.0 e as declarações quando uma API é chamada por meio do Gerenciamento de API com um token de acesso. | Validar política JWT |
Vá mais longe com esse cenário movendo o Gerenciamento de API para o perímetro de rede e controlando a entrada por meio de um proxy reverso. Para obter uma arquitetura de referência, consulte Proteger APIs com Gateway de Aplicativo e Gerenciamento de API.
Cenário 2 – API externa, aplicativo de parceiro
- Um colaborador do Gerenciamento de API e desenvolvedor de API de back-end deseja criar rapidamente uma prova de conceito para expor uma API herdada por meio do Gerenciamento de API do Azure. A API, por meio do Gerenciamento de APIs, está voltada para o exterior (internet).
- A API usa a autenticação de certificado do cliente e é consumida por um novo SPA (aplicativo de página única) voltado para o público desenvolvido no exterior por um parceiro.
- O SPA usa o OAuth 2.0 com o OIDC (OpenID Connect).
- Os desenvolvedores de aplicativos acessam a API em um ambiente de testes por meio do portal do desenvolvedor, usando um endpoint de teste de backend para acelerar o desenvolvimento de frontend.
Principais configurações:
| Configuração | Referência |
|---|---|
| Configure o acesso do desenvolvedor de front-end ao portal do desenvolvedor usando o nome de usuário e a autenticação de senha padrão. Os desenvolvedores também podem ser convidados para o portal do desenvolvedor. |
Configurar os usuários do portal do desenvolvedor para a autenticação com nomes de usuário e senhas Como gerenciar contas de usuário no Gerenciamento de API do Azure |
| Valide o token e as declarações do OAuth 2.0 quando o SPA chamar o Gerenciamento de API com um token de acesso. Nesse caso, a audiência é o Gerenciamento de API. | Validar política JWT |
| Configure o Gerenciamento de API para usar a autenticação de certificado do cliente para o back-end. | Proteger serviços de back-end usando autenticação por certificado do cliente no Gerenciamento de API do Azure |
Para levar esse cenário adiante, use o portal do desenvolvedor com a autorização do Microsoft Entra e a colaboração do Microsoft Entra B2B para permitir que os parceiros de entrega colaborem mais de perto. Considere delegar o acesso ao Gerenciamento de API por meio do RBAC em um ambiente de desenvolvimento ou teste e habilitar o SSO no portal do desenvolvedor usando suas próprias credenciais corporativas.
Cenário 3 – API externa, SaaS, aberta ao público
Um contribuinte para o Gerenciamento de API e desenvolvedor de API de back-end escreve várias novas APIs que os desenvolvedores da comunidade podem usar.
As APIs estão disponíveis publicamente, mas a funcionalidade completa é protegida por trás de um paywall e protegida usando o OAuth 2.0. Depois de comprar uma licença, o desenvolvedor obtém suas próprias credenciais de cliente e chave de assinatura válidas para uso em produção.
Os desenvolvedores da comunidade externa descobrem as APIs usando o portal do desenvolvedor. Os desenvolvedores se inscrevem e se conectam ao portal do desenvolvedor usando suas contas de mídia social.
Os usuários interessados do portal do desenvolvedor com uma chave de assinatura de teste podem explorar a funcionalidade da API em um contexto de teste, sem a necessidade de comprar uma licença. O console de teste do portal do desenvolvedor representa o aplicativo de chamada e gera um token de acesso padrão para a API de back-end.
Atenção
Cuidados extras são necessários ao usar um fluxo de credenciais do cliente com o console de teste do portal do desenvolvedor. Confira Considerações de segurança.
Principais configurações:
| Configuração | Referência |
|---|---|
| Configure produtos no Gerenciamento de API do Azure para representar as combinações de APIs que você expõe aos desenvolvedores da comunidade. Configure assinaturas para permitir que os desenvolvedores consumam as APIs. |
Tutorial: Criar e publicar um produto Assinaturas no Gerenciamento de API do Azure |
| Configure o acesso de desenvolvedores da comunidade ao portal do desenvolvedor usando o Microsoft Entra External ID. A ID Externa do Microsoft Entra pode ser configurada para funcionar com um ou mais provedores de identidade de mídia social downstream. | Como autorizar contas de desenvolvedor usando a ID Externa do Microsoft Entra no Gerenciamento de API do Azure |
| Configure o console de teste no portal do desenvolvedor para obter um token OAuth 2.0 válido para a API de back-end usando o fluxo de credenciais do cliente. |
Como autorizar o console de teste do portal do desenvolvedor configurando a autorização de usuário do OAuth 2.0 Ajuste as etapas de configuração mostradas neste artigo para usar o fluxo de concessão de credenciais do cliente em vez do fluxo de concessão de código de autorização. |
Vá mais longe delegando o registro do usuário ou a assinatura do produto e estenda o processo com sua própria lógica.
Conteúdo relacionado
- Saiba mais sobre autenticação e autorização na plataforma de identidade da Microsoft.
- Saiba como atenuar as ameaças à segurança da API OWASP usando o Gerenciamento de API.