Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
APLICA-SE A: Todas as camadas de gerenciamento de API
Neste artigo, aprende sobre como configurar fornecedores de identidade para conexões geridas na sua instância do API Management do Azure. As configurações para os seguintes provedores comuns são mostradas:
- Microsoft Entra
- OAuth Genérico 2
Você configura um provedor de credenciais no gerenciador de credenciais em sua instância de Gerenciamento de API. Para um exemplo passo a passo de configuração de um fornecedor de Microsoft Entra e de uma ligação, consulte Configure credential manager - Microsoft Graph API.
Pré-requisitos
Para configurar qualquer um dos provedores suportados no Gerenciamento de API, primeiro configure um aplicativo OAuth 2.0 no provedor de identidade que será usado para autorizar o acesso à API. Para obter detalhes de configuração, consulte a documentação do desenvolvedor do provedor.
Se você estiver criando um provedor de credenciais que usa o tipo de concessão de código de autorização, configure uma URL de redirecionamento (às vezes chamada de URL de retorno de chamada de autorização ou um nome semelhante) no aplicativo. Para o valor, insira
https://authorization-manager.consent.azure-apim.net/redirect/apim/<API-management-instance-name>.Dependendo do cenário, defina as configurações do aplicativo como escopos (permissões de API).
Minimamente, recupere as seguintes credenciais do aplicativo que serão configuradas no Gerenciamento de API: ID do cliente e segredo do cliente do aplicativo.
Dependendo do fornecedor e do seu cenário, poderá ser necessário recuperar outras definições, como endereços URL de ponto de extremidade de autorização ou escopo.
Os pontos de extremidade de autorização do provedor devem ser acessíveis pela Internet a partir de sua instância de Gerenciamento de API. Se sua instância de Gerenciamento de API estiver protegida em uma rede virtual, configure regras de rede ou firewall para permitir o acesso aos pontos de extremidade do provedor.
Além disso, os pedidos de tokens têm de sair da rede do cliente para o endpoint gestor de credenciais, que permanece numa rede Microsoft. Para aceder ao endpoint do gestor de credenciais, permita o acesso de saída da rede virtual ao tag de serviço AzureConnections na porta 443.
Fornecedor Microsoft Entra
O gestor de credenciais de gestão de API suporta o fornecedor de identidade Microsoft Entra, que é o serviço de identidade no Azure que fornece capacidades de gestão de identidade e controlo de acessos. Ele permite que os usuários entrem com segurança por meio de protocolos padrão do setor.
Tipos de concessão suportados: código de autorização, credenciais do cliente
Nota
Atualmente, o fornecedor de credenciais Microsoft Entra suporta apenas endpoints Azure Active Directory v1.0.
Definições do fornecedor Microsoft Entra
| Propriedade | Descrição | Necessário | Predefinição |
|---|---|---|---|
| Nome do provedor de credenciais | O nome do recurso do provedor de credenciais no Gerenciamento de API. | Sim | N/A |
| Provedor de identidade | Seleciona Azure Active Directory v1. | Sim | N/A |
| Tipo de subvenção | O tipo de concessão de autorização do OAuth 2.0 a ser usado. Dependendo do cenário, selecione Código de autorização ou Credenciais de cliente. |
Sim | Código de autorização |
| URL de autorização | O URL de autorização. | Não | https://login.microsoftonline.com |
| ID de Cliente | O ID da aplicação (cliente) era usado para identificar a aplicação Microsoft Entra. | Sim | N/A |
| Segredo do cliente | O segredo do cliente usado na aplicação Microsoft Entra. | Sim | N/A |
| URL do recurso | A URL do recurso que requer autorização. Exemplo: https://graph.microsoft.com |
Sim | N/A |
| ID do Inquilino | O ID do inquilino da sua aplicação Microsoft Entra. | Não | frequentes |
| Escopos | Uma ou mais permissões de API para a sua aplicação Microsoft Entra, separadas por espaços. Exemplo: ChannelMessage.Read.All User.Read |
Não | Permissões API definidas na aplicação Microsoft Entra |
Provedores OAuth genéricos
Você pode usar três provedores genéricos para configurar conexões:
- OAuth 2.0 genérico
- OAuth 2.0 Genérico com PKCE
- OAuth 2.1 Genérico com PKCE e DCR
Um provedor genérico permite que você use seu próprio provedor de identidade OAuth, com base em suas necessidades específicas.
Nota
Recomendamos o uso de um provedor PKCE para melhorar a segurança se o seu provedor de identidade oferecer suporte a ele. Para obter mais informações, consulte Chave de Prova para Troca de Código.
Tipos de concessão suportados: código de autorização, credenciais do cliente (depende do provedor)
Configurações genéricas do provedor de credenciais
| Propriedade | Descrição | Necessário | Predefinição |
|---|---|---|---|
| Nome do provedor de credenciais | O nome do recurso do provedor de credenciais no Gerenciamento de API. | Sim | N/A |
| Provedor de identidade | Selecione OAuth 2.0, OAuth 2.0 com PKCE ou OAuth 2.1 com PKCE com DCR. | Sim | N/A |
| Tipo de subvenção | O tipo de concessão de autorização do OAuth 2.0 a ser usado. Dependendo do seu cenário e do seu provedor de identidade, selecione Código de autorização ou Credenciais de cliente. |
Sim | Código de autorização |
| URL de autorização | A URL do endpoint de autorização. | Sim, para PKCE | NÃO UTILIZADO PARA OAuth 2.0 |
| ID de Cliente | O ID usado para identificar uma aplicação ao servidor de autorização do fornecedor de identidade. | Sim | N/A |
| Segredo do cliente | O segredo usado pelo aplicativo para autenticar com o servidor de autorização do provedor de identidade. | Sim | N/A |
| Atualizar URL | A URL para a qual seu aplicativo faz uma solicitação para trocar um token de atualização por um token de acesso renovado. | Sim, para PKCE | NÃO UTILIZADO PARA OAuth 2.0 |
| URL do servidor | A URL do servidor base. | Sim, para OAuth 2.1 com PKCE com DCR | N/A |
| Token URL | A URL do servidor de autorização do provedor de identidade utilizada para solicitar tokens de forma programática. | Sim | N/A |
| Escopos | Uma ou mais ações específicas que o aplicativo tem permissão para fazer ou informações que ele pode solicitar em nome de um usuário de uma API, separadas por espaços. Exemplo: user web api openid |
Não | N/A |
Outros provedores de identidade
A API Management suporta vários fornecedores para ofertas SaaS populares, incluindo GitHub, LinkedIn e outros. Pode selecionar a partir de uma lista destes fornecedores no portal do Azure quando criar um fornecedor de credenciais.
Tipos de subvenção suportados: código de autorização
As configurações necessárias para esses provedores diferem, dependendo do provedor, mas são semelhantes às dos provedores OAuth genéricos. Consulte a documentação do desenvolvedor para cada provedor.
Nota
Atualmente, o fornecedor Salesforce não inclui uma reivindicação de validade nos tokens. Como resultado, o Gestor de Credenciais não consegue detetar quando estes tokens expiram e não expõe um mecanismo para forçar a atualização. Com o fornecedor Salesforce, precisas de uma lógica de atualização personalizada para reautorizar manualmente a ligação e obter um novo token quando o token atual expirar.
Conteúdos relacionados
- Saiba mais sobre como gerenciar conexões no Gerenciamento de API.
- Crie uma ligação para Microsoft Graph API ou GitHub API.