Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
APLICA-SE A: Todas as camadas de gerenciamento de API
Neste artigo, você aprenderá sobre como configurar provedores de identidade para conexões gerenciadas em sua instância de Gerenciamento de API do Azure. As configurações para os seguintes provedores comuns são mostradas:
- Microsoft Entra
- OAuth Genérico 2
Você configura um provedor de credenciais no gerenciador de credenciais em sua instância de Gerenciamento de API. Para obter um exemplo passo a passo de configuração de um provedor e conexão do Microsoft Entra, consulte Configurar o gerenciador de credenciais - API do Microsoft Graph.
Pré-requisitos
Para configurar qualquer um dos provedores suportados no Gerenciamento de API, primeiro configure um aplicativo OAuth 2.0 no provedor de identidade que será usado para autorizar o acesso à API. Para obter detalhes de configuração, consulte a documentação do desenvolvedor do provedor.
Se você estiver criando um provedor de credenciais que usa o tipo de concessão de código de autorização, configure uma URL de redirecionamento (às vezes chamada de URL de retorno de chamada de autorização ou um nome semelhante) no aplicativo. Para o valor, insira
https://authorization-manager.consent.azure-apim.net/redirect/apim/<API-management-instance-name>.Dependendo do cenário, defina as configurações do aplicativo como escopos (permissões de API).
Minimamente, recupere as seguintes credenciais do aplicativo que serão configuradas no Gerenciamento de API: ID do cliente e segredo do cliente do aplicativo.
Dependendo do fornecedor e do seu cenário, poderá ser necessário recuperar outras definições, como endereços URL de ponto de extremidade de autorização ou escopo.
Os pontos de extremidade de autorização do provedor devem ser acessíveis pela Internet a partir de sua instância de Gerenciamento de API. Se sua instância de Gerenciamento de API estiver protegida em uma rede virtual, configure regras de rede ou firewall para permitir o acesso aos pontos de extremidade do provedor.
Provedor Microsoft Entra
O gerenciador de credenciais de Gerenciamento de API dá suporte ao provedor de identidade Microsoft Entra, que é o serviço de identidade no Azure que fornece recursos de gerenciamento de identidade e controle de acesso. Ele permite que os usuários entrem com segurança por meio de protocolos padrão do setor.
Tipos de concessão suportados: código de autorização, credenciais do cliente
Nota
Atualmente, o provedor de credenciais do Microsoft Entra oferece suporte apenas aos endpoints do Azure Active Directory v1.0.
Configurações do provedor Microsoft Entra
| Property | Descrição | Necessário | Predefinição |
|---|---|---|---|
| Nome do provedor de credenciais | O nome do recurso do provedor de credenciais no Gerenciamento de API. | Sim | N/A |
| Provedor de identidade | Selecione Azure Ative Directory v1. | Sim | N/A |
| Tipo de subvenção | O tipo de concessão de autorização do OAuth 2.0 a ser usado. Dependendo do cenário, selecione Código de autorização ou Credenciais de cliente. |
Sim | Código de autorização |
| URL de autorização | O URL de autorização. | Não | https://login.microsoftonline.com |
| ID de Cliente | A ID do aplicativo (cliente) usada para identificar o aplicativo Microsoft Entra. | Sim | N/A |
| Segredo do cliente | O segredo do cliente usado para o aplicativo Microsoft Entra. | Sim | N/A |
| URL do recurso | A URL do recurso que requer autorização. Exemplo: https://graph.microsoft.com |
Sim | N/A |
| ID do Inquilino | O ID do inquilino da sua aplicação Microsoft Entra. | Não | frequentes |
| Escopos | Uma ou mais permissões de API para seu aplicativo Microsoft Entra, separadas por espaços. Exemplo: ChannelMessage.Read.All User.Read |
Não | Permissões de API definidas no aplicativo Microsoft Entra |
Provedores OAuth genéricos
Você pode usar três provedores genéricos para configurar conexões:
- OAuth 2.0 genérico
- OAuth 2.0 Genérico com PKCE
- OAuth 2.1 Genérico com PKCE e DCR
Um provedor genérico permite que você use seu próprio provedor de identidade OAuth, com base em suas necessidades específicas.
Nota
Recomendamos o uso de um provedor PKCE para melhorar a segurança se o seu provedor de identidade oferecer suporte a ele. Para obter mais informações, consulte Proof Key for Code Exchange.
Tipos de concessão suportados: código de autorização, credenciais do cliente (depende do provedor)
Configurações genéricas do provedor de credenciais
| Property | Descrição | Necessário | Predefinição |
|---|---|---|---|
| Nome do provedor de credenciais | O nome do recurso do provedor de credenciais no Gerenciamento de API. | Sim | N/A |
| Provedor de identidade | Selecione OAuth 2.0, OAuth 2.0 com PKCE ou OAuth 2.1 com PKCE com DCR. | Sim | N/A |
| Tipo de subvenção | O tipo de concessão de autorização do OAuth 2.0 a ser usado. Dependendo do seu cenário e do seu provedor de identidade, selecione Código de autorização ou Credenciais de cliente. |
Sim | Código de autorização |
| URL de autorização | A URL do endpoint de autorização. | Sim, para PKCE | NÃO UTILIZADO PARA OAuth 2.0 |
| ID de Cliente | O ID usado para identificar uma aplicação ao servidor de autorização do fornecedor de identidade. | Sim | N/A |
| Segredo do cliente | O segredo usado pelo aplicativo para autenticar com o servidor de autorização do provedor de identidade. | Sim | N/A |
| Atualizar URL | A URL para a qual seu aplicativo faz uma solicitação para trocar um token de atualização por um token de acesso renovado. | Sim, para PKCE | NÃO UTILIZADO PARA OAuth 2.0 |
| URL do servidor | A URL do servidor base. | Sim, para OAuth 2.1 com PKCE com DCR | N/A |
| Token URL | A URL do servidor de autorização do provedor de identidade utilizada para solicitar tokens de forma programática. | Sim | N/A |
| Escopos | Uma ou mais ações específicas que o aplicativo tem permissão para fazer ou informações que ele pode solicitar em nome de um usuário de uma API, separadas por espaços. Exemplo: user web api openid |
Não | N/A |
Outros provedores de identidade
O Gerenciamento de API suporta vários provedores para ofertas populares de SaaS, incluindo GitHub, LinkedIn e outros. Você pode selecionar em uma lista desses provedores no portal do Azure ao criar um provedor de credenciais.
Tipos de subvenção suportados: código de autorização
As configurações necessárias para esses provedores diferem, dependendo do provedor, mas são semelhantes às dos provedores OAuth genéricos. Consulte a documentação do desenvolvedor para cada provedor.
Nota
Atualmente, o fornecedor Salesforce não inclui uma reivindicação de validade nos tokens. Como resultado, o Gestor de Credenciais não consegue detetar quando estes tokens expiram e não expõe um mecanismo para forçar a atualização. Com o fornecedor Salesforce, precisas de uma lógica de atualização personalizada para reautorizar manualmente a ligação e obter um novo token quando o token atual expirar.
Conteúdos relacionados
- Saiba mais sobre como gerenciar conexões no Gerenciamento de API.
- Crie uma ligação para a Microsoft Graph API ou GitHub API.