Compartir a través de

Autorización de cuentas de desarrollador mediante Microsoft Entra ID en Azure API Management

SE APLICA A: Desarrollador | Básico v2 | Estándar | Estándar v2 | Premium | Premium v2

En este artículo aprenderá a:

  • Habilite el acceso al portal para desarrolladores para los usuarios del inquilino de Microsoft Entra ID de su organización u otros inquilinos de personal de Microsoft Entra ID.
  • Administre grupos de usuarios de Microsoft Entra agregando grupos externos que contienen los usuarios.

Para obtener información general sobre las opciones para proteger el portal para desarrolladores, consulte Acceso seguro al portal para desarrolladores de API Management.

Importante

  • Este artículo se actualiza con los pasos para configurar una aplicación de Microsoft Entra mediante la Biblioteca de autenticación de Microsoft (MSAL).
  • Si anteriormente configuró una aplicación de Microsoft Entra para el inicio de sesión de usuario mediante la Biblioteca de autenticación de Azure AD (ADAL), migre a MSAL.

Para escenarios que implican el identificador externo de Microsoft para permitir que las identidades externas inicien sesión en el portal para desarrolladores, consulte Autorización del acceso al portal para desarrolladores de API Management mediante el identificador externo de Microsoft Entra.

Sugerencia

API Management ahora admite el acceso al portal de desarrolladores para usuarios de más de un inquilino de Microsoft Entra ID mediante un único registro de aplicación y una única configuración de identidad. Actualmente, esto se admite en los niveles Desarrollador, Estándar y Premium.

Requisitos previos

Vaya a la instancia de API Management.

  1. En Azure Portal, busque y seleccione Servicios de API Management:

    Captura de pantalla que muestra los servicios de API Management en los resultados de la búsqueda.

  2. En la página Servicios de API Management , seleccione la instancia de API Management:

    Captura de pantalla que muestra una instancia de API Management en la página servicios de API Management.

Habilitación del inicio de sesión de usuario mediante Microsoft Entra ID: portal

Para simplificar la configuración, API Management puede habilitar automáticamente una aplicación de Microsoft Entra y un proveedor de identidades para los usuarios del portal para desarrolladores. Como alternativa, puede habilitar manualmente la aplicación Microsoft Entra y el proveedor de identidades.

Habilitar automáticamente la aplicación y el proveedor de identidades de Microsoft Entra

Siga estos pasos para habilitar automáticamente el identificador de Microsoft Entra en el portal para desarrolladores:

  1. En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Información general del portal.

  2. En la página de información general del portal, desplácese hacia abajo hasta Habilitar inicio de sesión de usuario con Microsoft Entra ID.

  3. Seleccione Habilitar Microsoft Entra ID.

  4. En la página Habilitar Microsoft Entra ID, seleccione Habilitar Microsoft Entra ID.

  5. Seleccione Cerrar.

    Captura de pantalla de la habilitación de Microsoft Entra ID en la página de información general del portal para desarrolladores.

Una vez habilitado el proveedor de Microsoft Entra:

  • Los usuarios del inquilino de Microsoft Entra pueden iniciar sesión en el portal para desarrolladores mediante una cuenta de Microsoft Entra.
  • Puede administrar la configuración del proveedor de identidades de Microsoft Entra en la páginaIdentidades del > para desarrolladores en el portal.
  • Opcionalmente, actualice el registro de aplicaciones en el identificador de Microsoft Entra para admitir varios inquilinos, como se describe en Configuración del registro de aplicaciones para varios inquilinos. El nombre del registro de aplicación predeterminado creado por API Management es el mismo que el nombre de la instancia de API Management.
  • Opcionalmente, configure otras opciones de inicio de sesión seleccionando Identidades>Configuración. Por ejemplo, puede que desee redirigir a los usuarios anónimos a la página de inicio de sesión.
  • Vuelva a publicar el portal para desarrolladores después de cualquier cambio de configuración.

Habilitar manualmente la aplicación y el proveedor de identidades de Microsoft Entra

Como alternativa, habilite manualmente el identificador de Entra de Microsoft en el portal para desarrolladores registrando una aplicación usted mismo en el identificador de Microsoft Entra y configurando el proveedor de identidades para el portal para desarrolladores.

  1. En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Identidades.

  2. Seleccione + Agregar en la parte superior para abrir el panel Agregar proveedor de identidades a la derecha.

  3. En Type, seleccione Microsoft Entra ID en el menú desplegable. Al seleccionar esta opción, puede escribir otra información necesaria.

    • En la lista desplegable Biblioteca cliente, seleccione MSAL.
    • Para agregar el identificador de cliente y el secreto de cliente, consulte los pasos que se indican más adelante en el artículo.

  4. Guarde la URL de redireccionamiento para más adelante.

    Captura de pantalla de la incorporación de un proveedor de identidades en Azure Portal.

  5. En el explorador, abra Azure Portal en una nueva pestaña.

  6. Vaya a Registros de aplicaciones para registrar una aplicación en Microsoft Entra ID.

  7. Seleccione + Nuevo registro. En la página Registrar una aplicación, establezca los valores siguientes:

    • Establezca el valor Name con un nombre descriptivo, como developer-portal
    • Establezca Tipos de cuenta admitidos, realice una selección adecuada para sus escenarios. Si desea permitir que los usuarios de varios arrendatarios de Microsoft Entra ID accedan al portal del desarrollador, seleccione Cuentas en cualquier directorio organizacional (multiinquilino).
    • En URI de redirección, seleccione Aplicación de página única (SPA) y pegue la dirección URL de redireccionamiento que guardó en un paso anterior.
    • Seleccione Registrar.

  8. Después de registrar la aplicación, copie el identificador de aplicación (cliente) de la página Información general .

  9. Cambie a la pestaña del explorador con su instancia de API Management.

  10. En la ventana Agregar proveedor de identidades, pegue el valor de Id. de aplicación (cliente) en el cuadro Id. de cliente.

  11. Cambie a la pestaña del navegador con el registro de la aplicación.

  12. Seleccione el registro de aplicación correspondiente.

  13. En la sección Administrar del menú lateral, seleccione Secretos & de certificados.

  14. En la página Secretos & de certificados, seleccione el botón Nuevo secreto de cliente en Secretos de cliente.

    • Escriba una Descripción.
    • Seleccione cualquier opción para Expiración.
    • Seleccione Agregar.

  15. Copie el valor del secreto del cliente antes de salir de la página. La necesitará en otro paso más adelante.

  16. En Administrar, en el menú lateral, seleccione Configuración de token>+ Agregar notificación opcional.

    1. En Tipo de token, seleccione ID.
    2. Seleccione (compruebe) las siguientes notificaciones: email, family_name, given_name.
    3. Seleccione Agregar. Si se le solicita, seleccione Activar el correo electrónico y el permiso de perfil de Microsoft Graph.

  17. Cambie a la pestaña del explorador con su instancia de API Management.

  18. Pegue el secreto en el campo Secreto de cliente del panel Agregar proveedor de identidades.

    Importante

    Actualice el secreto de cliente antes de que expire la clave.

  19. En Inquilino de inicio de sesión, especifique un nombre o identificador de inquilino que se usará para el inicio de sesión en Microsoft Entra. Si no especifica un valor, se usa el punto de conexión común.

  20. En Inquilinos permitidos, agregue uno o varios nombres o identificadores de inquilino específicos de Microsoft Entra para iniciar sesión en Microsoft Entra.

    Nota:

    Si especifica inquilinos adicionales, el registro de la aplicación debe configurarse para soportar múltiples inquilinos. Para más información, consulte Configuración del registro de aplicaciones para varios inquilinos.

  21. Después de especificar la configuración deseada, seleccione Agregar.

  22. Vuelva a publicar el portal para desarrolladores para que la configuración de Microsoft Entra surta efecto. En el menú de la izquierda, en Portal para desarrolladores, seleccione Información general del portal>Publicar.

Una vez habilitado el proveedor de Microsoft Entra:

  • Los usuarios de los inquilinos de Microsoft Entra especificados pueden iniciar sesión en el portal para desarrolladores mediante una cuenta de Microsoft Entra.
  • Puede administrar la configuración de Microsoft Entra en el portal para desarrolladores>página Identidades en el portal.
  • Opcionalmente, configure otras opciones de inicio de sesión seleccionando Identidades>Configuración. Por ejemplo, puede que desee redirigir a los usuarios anónimos a la página de inicio de sesión.
  • Vuelva a publicar el portal para desarrolladores después de cualquier cambio de configuración.

Migración a MSAL

Si anteriormente configuró una aplicación de Microsoft Entra para el inicio de sesión de usuario mediante ADAL, puede usar el portal para migrar la aplicación a MSAL y actualizar el proveedor de identidades en API Management.

Actualización de la aplicación Microsoft Entra para la compatibilidad con MSAL

Para ver los pasos, consulte Cambio de URI de redirección al tipo de aplicación de página única.

Actualización de la configuración del proveedor de identidades

  1. En el menú izquierdo de la instancia de API Management, en Portal para desarrolladores, seleccione Identidades.
  2. Seleccione Microsoft Entra ID en la lista.
  3. En la lista desplegable Biblioteca cliente, seleccione MSAL.
  4. Seleccione Actualizar.
  5. Vuelva a publicar el portal para desarrolladores.

Configurar el acceso de los usuarios en más de un tenant de Microsoft Entra

Nota:

La compatibilidad con el acceso al portal para desarrolladores por parte de usuarios pertenecientes a varios inquilinos de Microsoft Entra ID está disponible actualmente en los niveles de servicio Desarrollador, Estándar y Premium de API Management.

Puede habilitar el acceso al portal para desarrolladores por parte de los usuarios de más de un tenant de Microsoft Entra ID. Para ello, siga estos pasos:

  • Configure el registro de aplicaciones para varios inquilinos.
  • Actualice la configuración del proveedor de identidades de Microsoft Entra ID para que el portal para desarrolladores agregue otro inquilino.

Configuración del registro de aplicaciones para varios inquilinos

El registro de aplicación que configure para el proveedor de identidad debe ser compatible con varios inquilinos. Puede hacerlo de cualquiera de las maneras siguientes:

  • Al crear el registro de la aplicación, establezca Tipos de cuenta compatibles en Cuentas en cualquier directorio organizativo (cualquier inquilino de Microsoft Entra ID - Multiinquilino).
  • Si anteriormente configuró un registro de aplicación para un solo inquilino, actualice la configuración Tipos de cuenta admitidos en la página Administrar>autenticación del registro de la aplicación.

Actualización de la configuración del proveedor de identidades de Microsoft Entra ID para varios inquilinos

Actualice la configuración del proveedor de identidades para agregar otro inquilino:

  1. En Azure Portal, vaya a la instancia de API Management.
  2. En Portal para desarrolladores, seleccione Identidades.
  3. Seleccione Microsoft Entra ID en la lista.
  4. En el campo Id. de inquilino , agregue los identificadores de inquilino adicionales separados por comas.
  5. Actualice el valor del inquilino de inicio de sesión a uno de los inquilinos configurados.
  6. Seleccione Actualizar.
  7. Vuelva a publicar el portal para desarrolladores.

Agregar un grupo externo de Microsoft Entra

Después de habilitar el acceso para los usuarios en un inquilino de Microsoft Entra, puede hacer lo siguiente:

  • Agregue grupos de Microsoft Entra a API Management. Tiene que añadir grupos en la entidad donde implementó su instancia de API Management.
  • Controlar la visibilidad del producto mediante grupos de Microsoft Entra.
  1. Vaya a la página Registro de aplicaciones de la aplicación que registró en la sección anterior.
  2. Seleccione Permisos de API.
  3. Agregue los siguientes permisos mínimos de aplicación para Microsoft Graph API:
    • User.Read.All permiso de aplicación: para que API Management pueda leer la pertenencia a grupos del usuario para realizar la sincronización de grupos cuando el usuario inicia sesión.
    • Group.Read.All permiso de aplicación: para que API Management pueda leer los grupos de Microsoft Entra cuando un administrador intenta agregar el grupo a API Management mediante la hoja Grupos del portal.
  4. Seleccione Conceder consentimiento de administrador para {tenantname} para conceder acceso a todos los usuarios de este directorio.

Ahora los grupos externos de Microsoft Entra se pueden agregan desde la pestaña Grupos de la instancia de API Management.

  1. En la sección Portal para desarrolladores del menú lateral, seleccione Grupos.

  2. Seleccione el botón Agregar grupo de Microsoft Entra.

    Captura de pantalla que muestra el botón Agregar grupo de Microsoft Entra en el portal.

  3. Seleccione Inquilino en el menú desplegable.

  4. Busque y seleccione el grupo que quiera agregar.

  5. Presione el botón Select (Seleccionar).

Después de agregar un grupo externo de Microsoft Entra, puede revisar y configurar sus propiedades:

  1. Seleccione el nombre del grupo en la pestaña Groups (Grupos).
  2. Edite la información de Nombre y Descripción del grupo.

Los usuarios de la instancia de Microsoft Entra configurada ahora pueden:

  • Inicie sesión en el portal para desarrolladores.
  • Ver los grupos para los que tengan visibilidad y suscribirse a ellos.

Nota:

Para obtener más información sobre la diferencia entre los tipos de permiso delegado y de aplicación, consulte el artículo Permisos y consentimiento en la Plataforma de identidad de Microsoft.

Sincronice grupos de Microsoft Entra con API Management

Los grupos que configure en Microsoft Entra deben sincronizarse con API Management para poder agregarlos a la instancia. Si los grupos no se sincronizan automáticamente, siga uno de los pasos siguientes para sincronizar manualmente la información del grupo:

  • Cierre sesión e inicie sesión en Microsoft Entra ID. Esta actividad normalmente desencadena la sincronización de grupos.
  • Asegúrese de que el inquilino de inicio de sesión de Microsoft Entra se especifica de la misma manera (mediante un identificador de inquilino o un nombre de dominio) en las opciones de configuración de API Management. Especifique el inquilino de inicio de sesión en el proveedor de identidades de Id. de Microsoft Entra para el portal para desarrolladores y al agregar un grupo de Microsoft Entra a API Management.

Portal para desarrolladores: Agregar autenticación de cuenta de Microsoft Entra

En el portal para desarrolladores, puede habilitar el inicio de sesión con microsoft Entra ID mediante el botón De inicio de sesión: widget de OAuth incluido en la página de inicio de sesión del contenido predeterminado del portal para desarrolladores.

A continuación, un usuario puede iniciar sesión con el identificador de Entra de Microsoft de la siguiente manera:

  1. Vaya al portal para desarrolladores. Selecciona Iniciar sesión.

  2. En la página Iniciar sesión , seleccione Microsoft Entra ID. Al seleccionar este botón se abre la página de inicio de sesión de Microsoft Entra ID.

    Captura de pantalla en la que se muestra el widget OAuth en el portal para desarrolladores.

    Sugerencia

    Si se han configurado varios inquilinos para el acceso, aparecerán varios botones de Entra ID de Microsoft en la página de inicio de sesión. Cada botón se etiqueta con el nombre del inquilino.

  3. En la ventana de inicio de sesión del inquilino de Microsoft Entra, responda a las indicaciones. Una vez completado el inicio de sesión, el usuario se redirige de nuevo al portal para desarrolladores.

El usuario ahora ha iniciado sesión en el portal para desarrolladores y se ha agregado como una nueva identidad de usuario de API Management en Usuarios.

Aunque se crea automáticamente una nueva cuenta cuando un nuevo usuario inicia sesión con el identificador de Microsoft Entra, considere la posibilidad de agregar el mismo widget a la página de registro. El widget Sign-up form: OAuth (Formulario de inicio de sesión: OAuth) representa un formulario que se utiliza para registrarse con OAuth.

Importante

Debe volver a publicar el portal para que los cambios en Microsoft Entra ID surtan efecto.

Contenido relacionado

  • Last updated on