Como autorizar contas de programador utilizando fornecedores de identidade externos no Microsoft Entra External ID

APLICA-SE A: Developer | Básico v2 | Padrão | Padrão v2 | Prémio | Premium v2

O Microsoft Entra External ID é uma solução de gerenciamento de identidades na nuvem que permite que identidades externas acessem com segurança seus aplicativos e recursos. Você pode usá-lo para gerenciar o acesso ao seu portal do desenvolvedor do Gerenciamento de API por identidades externas.

Para obter uma visão geral das opções para proteger o acesso ao portal do desenvolvedor, consulte Acesso seguro ao portal do desenvolvedor do Gerenciamento de API.

Atualmente, a API Management suporta fornecedores externos de identidade no Microsoft Entra External ID quando configurado num inquilino de força de trabalho do Microsoft Entra ID. Por exemplo, se estiver a ativar o acesso ao portal de programadores por utilizadores no seu inquilino Workforce, como a organização Contoso, poderá querer configurar o Google ou o Facebook como fornecedores externos de identidade para que estes utilizadores externos também possam iniciar sessão usando as suas contas. Saiba mais sobre configurações de força de trabalho e inquilinos externos no Microsoft External ID.

Pré-requisitos

• Um locatário Microsoft Entra ID (locatário da força de trabalho) onde se permite o acesso externo.
• Permissões para criar uma aplicação e configurar fluxos de utilizadores no inquilino da força de trabalho.
• Uma instância de gerenciamento de API. Se você ainda não tiver uma, crie uma instância de Gerenciamento de API do Azure.
• Se você criou sua instância em uma camada v2, habilite o portal do desenvolvedor. Para obter mais informações, consulte Tutorial: Acessar e personalizar o portal do desenvolvedor.

Adicionar provedor de identidade externo ao seu tenant

Para este cenário, deve ativar um fornecedor de identidade para ID Externo no seu locatário da empresa. A configuração do fornecedor externo de identidade depende do fornecedor específico e está fora do âmbito deste artigo. Para opções e ligações para os passos, consulte Fornecedores de Identidade para ID Externo em inquilinos da força de trabalho.

Habilitar o login do usuário usando o Microsoft Entra ID - portal

Para simplificar a configuração, o Gerenciamento de API pode habilitar automaticamente um aplicativo Microsoft Entra e um provedor de identidade para usuários do portal do desenvolvedor. Como alternativa, você pode habilitar manualmente o aplicativo Microsoft Entra e o provedor de identidade.

Habilitar automaticamente o aplicativo Microsoft Entra e o provedor de identidade

Siga estes passos para ativar automaticamente o Microsoft Entra ID no portal do programador:

1. No menu esquerdo da instância de Gerenciamento de API, em Portal do desenvolvedor, selecione Visão geral do portal.

2. Na página Visão geral do Portal, role para baixo até Ativar início de sessão do utilizador com o ID do Microsoft Entra.

3. Selecione Ativar ID do Microsoft Entra.

4. Na página Ativar ID do Microsoft Entra, selecione Ativar ID do Microsoft Entra.

5. Selecione Fechar.

   

Depois que o provedor do Microsoft Entra estiver habilitado:

• Os utilizadores do seu tenant Microsoft Entra podem iniciar sessão no portal de programadores usando uma conta Microsoft Entra.
• Pode gerir a configuração do fornecedor de identidade do Microsoft Entra na página de Identidades>.
• Opcionalmente, atualize o registo da aplicação no Microsoft Entra ID para suportar múltiplos inquilinos, conforme descrito em Configurar registo de aplicações para múltiplos inquilinos. O nome do registo padrão da aplicação criado pela API Management é o mesmo que o nome da instância de API Management.
• Opcionalmente, configure outras configurações de entrada selecionando Configurações de identidades>. Por exemplo, talvez você queira redirecionar usuários anônimos para a página de entrada.
• Republique o portal do desenvolvedor após qualquer alteração de configuração.

Habilitar manualmente o aplicativo Microsoft Entra e o provedor de identidade

Em alternativa, ative manualmente o Microsoft Entra ID no portal de programadores, registando uma aplicação no Microsoft Entra ID e configurando o fornecedor de identidade para o portal de programadores.

1. No menu esquerdo da instância de Gerenciamento de API, em Portal do desenvolvedor, selecione Identidades.

2. Selecionar + Adicionar no topo para abrir o painel Adicionar fornecedor de identidade à direita.

3. Em Tipo, selecione Microsoft Entra ID no menu suspenso. Ao selecionar esta opção, pode inserir outras informações necessárias.

   • Na lista suspensa Biblioteca de clientes, selecione MSAL.
   • Para adicionar ID do cliente e segredo do cliente, consulte as etapas mais adiante no artigo.

4. Guarde o URL de redirecionamento para mais tarde.

   

5. No navegador, abra o portal do Azure em uma nova guia.

6. Navegue até Registos de Aplicações para registar uma aplicação no Microsoft Entra ID.

7. Selecione Novo registo. Na página Registrar um aplicativo, defina os valores da seguinte maneira:

   • Definir Nome como um nome significativo, como developer-portal
   • Define os tipos de conta suportados, faz uma escolha adequada às tuas situações. Se quiser permitir que os utilizadores em múltiplos inquilinos do Microsoft Entra ID acedam ao portal do programador, selecione Contas em qualquer diretório organizacional (Multiinquilino).
   • Em URI de redirecionamento, selecione Aplicativo de página única (SPA) e cole a URL de redirecionamento salva de uma etapa anterior.
   • Selecione Register.

8. Depois de registar a candidatura, copie o ID da Aplicação (cliente) da página de Visão Geral .

9. Alterne para a guia do navegador com sua instância de Gerenciamento de API.

10. Na janela Adicionar provedor de identidade, cole o valor da ID do aplicativo (cliente) na caixa ID do cliente.

11. Muda para o separador do navegador com o registo da aplicação.

12. Selecione o registro de aplicativo apropriado.

13. Na seção Gerenciar do menu lateral, selecione Certificados & segredos.

14. Na página Certificados & segredos, selecione o botão Novo segredo de cliente em Segredos do cliente.

    • Insira uma Descrição.
    • Selecione qualquer opção para Expira.
    • Escolha Adicionar.

15. Copie o valor secreto do cliente antes de sair da página. Você precisa dele em uma etapa posterior.

16. Em Gerir no menu lateral, selecione Configuração de token>+ Adicionar declaração opcional.

    1. Em Tipo de token, selecione ID.
    2. Selecione (verifique) as seguintes declarações: e-mail, family_namegiven_name.
    3. Selecione Adicionar. Se solicitado, selecione Ativar o email do Microsoft Graph, permissão de perfil.

17. Alterne para a guia do navegador com sua instância de Gerenciamento de API.

18. Cole o segredo no campo Segredo do cliente no painel Adicionar provedor de identidade.

    Importante

    Atualize o segredo do cliente antes que a chave expire.

19. Em Inquilino de início de sessão, especifique um nome ou ID de inquilino a ser usado para iniciar sessão no Microsoft Entra. Se não especificar um valor, é usado o endpoint Comum.

20. Em Inquilinos permitidos, adicione um ou mais nomes ou IDs específicos do Microsoft Entra para iniciar sessão no Microsoft Entra.

    Observação

    Se especificar inquilinos adicionais, o registo da aplicação deve estar configurado para suportar múltiplos inquilinos. Para mais informações, consulte Configurar registo de aplicações para múltiplos inquilinos.

21. Depois de especificar a configuração desejada, selecione Adicionar.

22. Republique o portal do desenvolvedor para que a configuração do Microsoft Entra entre em vigor. No menu à esquerda, em Portal do desenvolvedor, selecione Visão geral do>portal Publicar.

Depois que o provedor do Microsoft Entra estiver habilitado:

• Os utilizadores do(s) locatário(s) do Microsoft Entra especificado(s) podem entrar no portal do desenvolvedor usando uma conta do Microsoft Entra.
• Você pode gerenciar a configuração do Microsoft Entra na página Identidades no >.
• Opcionalmente, configure outras configurações de entrada selecionando Configurações de identidades>. Por exemplo, talvez você queira redirecionar usuários anônimos para a página de entrada.
• Republique o portal do desenvolvedor após qualquer alteração de configuração.

Habilite a inscrição de autoatendimento para seu locatário

Para permitir que utilizadores externos se registem para aceder ao portal de programadores, complete os seguintes passos:

• Ative a inscrição em autoatendimento para o locatário externo.
• Adicione seu aplicativo ao fluxo de usuário de inscrição de autoatendimento.

Para mais informações e passos detalhados, veja Criar fluxos de registo self-service para colaboração B2B.

Entre no portal do desenvolvedor com a ID externa do Microsoft Entra

No portal para programadores, pode ativar o início de sessão com o Microsoft Entra External ID usando o botão de início de sessão: widget OAuth. O widget já está incluído na página de entrada do conteúdo padrão do portal do desenvolvedor.

Um utilizador pode então iniciar sessão com o Microsoft Entra External ID da seguinte forma:

1. Vai ao portal de programadores. Selecione Entrar.

2. Na página de Iniciar Sessão , selecione Microsoft Entra ID.

   

   Sugestão

   Se configurar mais de um locatário Microsoft Entra para acesso, mais de um botão Microsoft Entra ID aparece na página de início de sessão. Cada botão está identificado com o nome do inquilino.

3. Na janela de início de sessão do seu inquilino do Microsoft Entra, selecione Opções de início de sessão. Selecione o fornecedor de identidade externo configurado no seu tenant Microsoft Entra para iniciar sessão. Por exemplo, se configurou o Google como um fornecedor de identidade, selecione Iniciar sessão com o Google.

   

4. Para continuar a iniciar sessão, responda às instruções. Após o início de sessão, o utilizador é redirecionado de volta para o portal do programador.

O utilizador está agora sesionado no portal de programadores, adicionado como uma nova identidade de utilizador de Gestão de APIs em Utilizadores e adicionado como novo utilizador externo em Microsoft Entra ID.

Conteúdo relacionado

• Acesso seguro ao portal do desenvolvedor do Gerenciamento de API
• Autorizar o acesso ao portal para desenvolvedores do Gerenciamento de API através da Identidade do Microsoft Entra
• Introdução ao ID Externo do Microsoft Entra
• Funcionalidades suportadas na força de trabalho e inquilinos externos