Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S'APPLIQUE À : Tous les niveaux de Gestion des API
Dans cet article, vous allez découvrir comment configurer des fournisseurs d’identité pour les connections managées dans votre instance de Azure API Management. Les paramètres des fournisseurs courants suivants sont indiqués :
- Microsoft Entra
- OAuth 2 générique
Vous configurez un fournisseur d’informations d’identification dans le gestionnaire d’informations d’identification de votre instance Gestion des API. Pour obtenir un exemple pas à pas de configuration d’un fournisseur et d’une connexion Microsoft Entra, consultez Configure credential manager - Microsoft Graph API.
Prérequis
Pour configurer n’importe quel fournisseur pris en charge dans le service Gestion des API, configurez d’abord une application OAuth 2.0 dans le fournisseur d’identité qui sera utilisé pour autoriser l’accès à l’API. Pour plus d’informations sur la configuration, consultez la documentation développeur du fournisseur.
Si vous créez un fournisseur d’informations d’identification qui utilise le type d’octroi de code d’autorisation, configurez une URL de redirection (parfois appelée URL de rappel d’autorisation ou un nom similaire) dans l’application. Pour la valeur, entrez
https://authorization-manager.consent.azure-apim.net/redirect/apim/<API-management-instance-name>.Selon votre scénario, configurez les paramètres d’application tels que les étendues (autorisations d’API).
Récupérez au minimum les informations d’identification d’application suivantes qui seront configurées dans Gestion des API : l’ID client et la clé secrète client de l’application (clé secrète client non requise pour les informations d’identification d’identité fédérée).
Selon le fournisseur et votre scénario, vous devrez peut-être récupérer d’autres paramètres, tels que les URL de point de terminaison d’autorisation ou les étendues.
Les points de terminaison d'autorisation du fournisseur doivent être accessibles sur l'internet depuis votre instance de Gestion des API. Si votre instance de Gestion des API est sécurisée dans un réseau virtuel, configurez les règles du réseau ou du pare-feu pour autoriser l'accès aux points d'extrémité du fournisseur.
En outre, les demandes de jetons doivent sortir du réseau du client vers le point de terminaison du gestionnaire d'informations d'identification, qui reste dans un réseau Microsoft. Pour atteindre le point de terminaison du gestionnaire d’informations d’identification, autorisez l’accès sortant du réseau virtuel à l’étiquette de service AzureConnections sur le port 443.
fournisseur Microsoft Entra
Le gestionnaire des informations d'identification d'API prend en charge le fournisseur d’identité Microsoft Entra, qui est le service d’identité dans Azure fournissant des fonctionnalités de gestion des identités et de contrôle d’accès. Il permet aux utilisateurs de se connecter en toute sécurité via des protocoles standard.
Types d’octroi pris en charge : code d’autorisation, informations d’identification du client, code d’autorisation avec informations d’identification d’identité fédérée
Remarque
Actuellement, le fournisseur d’informations d’identification Microsoft Entra prend uniquement en charge les points de terminaison Azure Active Directory v1.0.
paramètres du fournisseur Microsoft Entra
| Propriété | Description | Obligatoire | Default |
|---|---|---|---|
| Nom du fournisseur d’informations d’identification | Nom de la ressource du fournisseur d’informations d’identification dans Gestion des API. | Oui | N/A |
| Fournisseur d’identité | Sélectionnez Azure Active Directory v1. | Oui | N/A |
| Type d’octroi | Type d’octroi d’autorisation OAuth 2.0 à utiliser. Selon votre scénario, sélectionnez le code d’autorisation, les informations d’identification du client ou le code d’autorisation avec les informations d’identification d’identité fédérée. |
Oui | Code d’autorisation |
| URL d’autorisation | URL d’autorisation. | Non | https://login.microsoftonline.com |
| ID du client | ID d’application (client) utilisé pour identifier l’application Microsoft Entra. | Oui | N/A |
| Clé secrète client | Clé secrète client utilisée pour l’application Microsoft Entra. | Oui pour le code d’autorisation et les types d’informations d’identification du client, non pour les informations d’identification d’identité fédérée | N/A |
| URL de ressource | URL de la ressource qui nécessite une autorisation. Exemple : https://graph.microsoft.com |
Oui | N/A |
| ID de locataire | ID de locataire de votre application Microsoft Entra. | Non | commun |
| Étendues | Une ou plusieurs autorisations d’API pour votre application Microsoft Entra, séparées par des espaces. Exemple : ChannelMessage.Read.All User.Read |
Non | Autorisations d’API définies dans l’application Microsoft Entra |
Paramètres supplémentaires pour le code d’autorisation avec identifiants fédérés : type d’attribution :
| Propriété | Description | Obligatoire | Default |
|---|---|---|---|
| Émetteur | URL de l’émetteur du fournisseur d’identité fédéré. | Oui | https://login.microsoftonline.com/<tenant-id>/v2.0 |
| Identificateur de l’objet | Identificateur de sujet généré par la Gestion des API pour le gestionnaire de justificatifs d'identification. | Oui | N/A |
| Public ciblé | L’audience demande des jetons auprès du fournisseur d’identité fédérée. | Oui | api://AzureADTokenExchange |
Fournisseurs OAuth génériques
Vous pouvez utiliser trois fournisseurs génériques pour la configuration des connexions :
- Generic OAuth 2.0
- OAuth 2.0 générique avec PKCE
- OAuth 2.1 générique avec PKCE avec inscription dynamique du client (DCR)
Un fournisseur générique vous permet d’utiliser votre propre fournisseur d’identité OAuth, en fonction de vos besoins spécifiques.
Remarque
Nous vous recommandons d’utiliser un fournisseur PKCE pour améliorer la sécurité si votre fournisseur d’identité le prend en charge. Pour plus d’informations, consultez Proof Key for Code Exchange.
Types d’autorisation pris en charge : code d’autorisation, informations d’identification du client (en fonction du fournisseur)
Paramètres du fournisseur d’informations d’identification générique
| Propriété | Description | Obligatoire | Default |
|---|---|---|---|
| Nom du fournisseur d’informations d’identification | Nom de la ressource du fournisseur d’informations d’identification dans Gestion des API. | Oui | N/A |
| Fournisseur d’identité | Sélectionnez OAuth 2.0, OAuth 2.0 avec PKCE ou OAuth 2.1 avec PKCE avec DCR. | Oui | N/A |
| Type d’octroi | Type d’octroi d’autorisation OAuth 2.0 à utiliser. Selon votre scénario et votre fournisseur d’identité, sélectionnez Code d’autorisation ou Informations d’identification du client. |
Oui | Code d’autorisation |
| URL d’autorisation | URL de l'endpoint d'autorisation. | Oui, pour PKCE | INUTILISÉ pour OAuth 2.0 |
| ID du client | ID utilisé pour identifier une application sur le serveur d’autorisation du fournisseur d’identité. | Oui | N/A |
| Clé secrète client | Secret utilisé par l’application pour s’authentifier auprès du serveur d’autorisation du fournisseur d’identité. | Oui | N/A |
| URL d’actualisation | URL à laquelle votre application effectue une demande afin d’échanger un jeton d’actualisation pour un jeton d’accès renouvelé. | Oui, pour PKCE | INUTILISÉ pour OAuth 2.0 |
| URL du serveur | URL du serveur de base. | Oui, pour OAuth 2.1 avec PKCE avec DCR | N/A |
| URL du jeton | URL sur le serveur d’autorisation du fournisseur d’identité, utilisée pour demander des jetons par programmation. | Oui | N/A |
| Étendues | Une ou plusieurs actions spécifiques que l’application est autorisée à effectuer ou à des informations qu’elle peut demander au nom d’un utilisateur à partir d’une API, séparées par des espaces. Exemple : user web api openid |
Non | N/A |
Autres fournisseurs d’identité
Gestion des API prend en charge plusieurs fournisseurs pour les offres SaaS populaires, notamment les GitHub, les LinkedIn et d’autres. Vous pouvez sélectionner dans une liste de ces fournisseurs dans le portail Azure lorsque vous créez un fournisseur d’informations d’identification.
Types d’octroi pris en charge : code d’autorisation
Les paramètres requis pour ces fournisseurs diffèrent, selon le fournisseur, mais sont similaires à ceux des fournisseurs OAuth génériques. Consultez la documentation du développeur pour chaque fournisseur.
Remarque
Actuellement, le fournisseur Salesforce n’inclut pas de revendication d’expiration dans ses jetons. Par conséquent, le Gestionnaire d’informations d’identification ne peut pas détecter quand ces jetons expirent et n’expose pas de mécanisme pour forcer l’actualisation. Avec le fournisseur Salesforce, vous avez besoin d’une logique d’actualisation personnalisée pour réauthoriser manuellement la connexion pour obtenir un nouveau jeton lorsque le jeton actuel expire.
Contenu connexe
- En savoir plus sur la gestion des connexions dans Gestion des API.
- Créez une connexion pour Microsoft Graph API ou GitHub API.