本文已更新使用 Microsoft 身份验证库 (
MSAL
) 配置 Microsoft Entra 应用的步骤。
如果以前使用 Azure AD 身份验证库 (ADAL) 为用户登录配置了 Microsoft Entra 应用,建议
迁移到 MSAL
。
完成
创建 Azure API 管理实例
快速入门。
在 Azure API 管理实例中
导入并发布
API。
可以使用本地 Azure CLI。
如果需要,请
安装
Azure CLI 来运行 CLI 参考命令。
本地 Azure CLI,请了解如何
安装 Azure CLI
。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅
如何在 Docker 容器中运行 Azure CLI
。
通过使用
az login
命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅
使用 Azure CLI 登录
。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息,请参阅
使用 Azure CLI 的扩展
。
运行
az version
以查找安装的版本和依赖库。 若要升级到最新版本,请运行
az upgrade
。
使用 Microsoft Entra ID 启用用户登录 - 门户
为了简化配置,API 管理可以为开发人员门户的用户自动启用 Microsoft Entra 应用程序和标识提供者。 你也可以手动启用 Microsoft Entra 应用程序和标识提供者。
自动启用 Microsoft Entra 应用程序和标识提供者
在 API 管理实例的左侧菜单中的“开发人员门户”下,选择“门户概述”。
在“门户概述”页上,向下滚动到“启用 Microsoft Entra ID 用户登录”。
选择“启用 Microsoft Entra ID”
。
在
“启用 Microsoft Entra ID”页上,选择“
启用 Microsoft Entra ID”。
选择
关闭
。
指定 Microsoft Entra 实例中的用户可以
使用 Microsoft Entra 帐户登录到开发人员门户
。
可以在门户中的“开发人员门户”>“标识”页上管理 Microsoft Entra 配置。
(可选)通过选择“标识”>“设置”来配置其他登录设置。 例如,你可能希望将匿名用户重定向到登录页。
在进行配置更改后重新发布开发人员门户。
手动启用 Microsoft Entra 应用程序和标识提供者
在 API 管理实例的左侧菜单中的“开发人员门户”下,选择“标识”。
选择顶部的“+添加”,在右侧打开“添加标识提供者”窗格 。
在“类型”下,从下拉菜单中选择“Microsoft Entra ID”
。 选择后,可以输入其他所需信息。
在“客户端库”下拉列表中,选择“MSAL”。
若要添加“客户端 ID”和“客户端密码”,请参阅本文后面的步骤。
保存“重定向 URL”供稍后使用。
在浏览器上的新标签页中打开 Azure 门户。
导航到“
应用注册
”以在 Active Directory 中注册应用。
选择“新注册”。 在“注册应用程序”页上,将值设置如下:
将“名称”设置为有意义的名称,例如“developer-portal”
将“支持的帐户类型”设置为“任何组织目录中的帐户”。
在“重定向 URI”中,选择“单页应用程序(SPA)”,然后粘贴上一步保存的重定向 URL。
选择“注册” 。
注册应用程序之后,从“概述”页复制“应用程序(客户端) ID” 。
切换到包含你的 API 管理实例的浏览器标签页。
在“添加标识提供者”窗口中,将“应用程序(客户端) ID”值粘贴到“客户端 ID”框中。
切换到包含“应用注册”的浏览器标签卡。
选择适当的应用注册。
在边侧菜单的“管理”部分下,选择“证书和机密”
。
在“证书和机密”页中,选择“客户端机密”下的“新建客户端机密”按钮
。
输入“说明”。
为“过期”选择任一选项。
选择“添加” 。
在离开页面之前复制客户端的“机密”值。 稍后需要用到此值。
在侧菜单中的“管理”下,选择“令牌配置”>“+ 添加可选声明”。
在“令牌类型”中,选择“ID”。
选择(勾选)以下声明:email、family_name、given_name。
选择
添加
。 如果出现提示,请选择“启用 Microsoft Graph电子邮件、配置文件权限”。
切换到包含你的 API 管理实例的浏览器标签页。
将机密粘贴到“添加标识提供者”窗格的“客户端机密”字段中 。
在密钥过期之前更新“客户端机密”。
在登录租户
中,指定要用于登录 Microsoft Entra 的租户名称或 ID。 如果未指定任何值,则会使用通用终结点。
在“允许的租户”
中,添加用于登录 Microsoft Entra 的特定 Microsoft Entra 租户名称或 ID。
指定所需配置后,选择“添加”。
重新发布开发人员门户以使 Microsoft Entra 配置生效。 在左侧菜单中的“开发人员门户”下,选择“门户概述”>“发布”。
启用 Microsoft Entra 提供程序后:
指定 Microsoft Entra 租户中的用户可以
使用 Microsoft Entra 帐户登录到开发人员门户
。
可以在门户中的“开发人员门户”>“标识”页上管理 Microsoft Entra 配置。
(可选)通过选择“标识”>“设置”来配置其他登录设置。 例如,你可能希望将匿名用户重定向到登录页。
在进行配置更改后重新发布开发人员门户。
迁移到 MSAL
如果以前使用 ADAL 为用户登录配置了 Microsoft Entra 应用,则可以使用门户将应用迁移到 MSAL,并在 API 管理中更新标识提供者。
更新 Microsoft Entra 应用以实现 MSAL 兼容性
有关步骤,请参阅
将重定向 URI 切换为单页应用程序类型
。
更新标识提供者配置
在 API 管理实例的左侧菜单中的“开发人员门户”下,选择“标识”。
从列表中选择“Microsoft Entra ID”
。
在“客户端库”下拉列表中,选择“MSAL”。
选择“更新”。
重新发布开发人员门户
。
添加外部 Microsoft Entra 组
为 Microsoft Entra 租户中的用户启用访问权限后,你可以:
将 Microsoft Entra 组添加到 API 管理中。 添加的组必须位于部署 API 管理实例的租户中。
使用 Microsoft Entra 组控制产品可见性。
导航到你在
上一部分
注册的应用程序的“应用注册”页。
选择“API 权限”。
为 Microsoft 图形 API 添加以下最低应用程序权限
:
