Autorizzare gli account per sviluppatori utilizzando Microsoft Entra ID in Gestione API di Azure

SI APPLICA A: Sviluppatore | Basic v2 | Standard | Standard v2 | Premium | Premium v2

In questo articolo vengono illustrate le operazioni seguenti:

Per una panoramica delle opzioni per proteggere il portale per sviluppatori, vedere Proteggere l'accesso al portale per sviluppatori di Gestione API.

Prerequisiti

• Completare l'avvio rapido Creare un'istanza di Gestione API di Azure.

• Importare e pubblicare un'API in un'istanza di Gestione API di Azure.

• Se l'istanza è stata creata in un livello v2, abilitare il portale per sviluppatori. Per altre informazioni, vedere Esercitazione: Accedere e personalizzare il portale per sviluppatori.

Passare all'istanza di Gestione API

1. Nel portale di Azure cercare e selezionare Servizi gestione API:

   

2. Nella pagina Servizi Gestione API selezionare l'istanza di Gestione API:

   

Abilitare l'accesso utente con Microsoft Entra ID - Portale

Per semplificare la configurazione, Gestione API può abilitare automaticamente un'applicazione Microsoft Entra e un provider di identità per gli utenti del portale per sviluppatori. In alternativa, è possibile abilitare manualmente l'applicazione Microsoft Entra e il provider di identità.

Abilitare automaticamente l'applicazione Microsoft Entra e il provider di identità

Seguire questa procedura per abilitare automaticamente Microsoft Entra ID nel portale per sviluppatori:

1. Nel menu a sinistra dell'istanza di Gestione API, in Portale per sviluppatori selezionare Panoramica del portale.

2. Nella pagina Panoramica del portale scorrere verso il basso fino a Abilita accesso utente con Microsoft Entra ID.

3. Selezionare Abilita Microsoft Entra ID.

4. Nella pagina Abilita Microsoft Entra ID selezionare Abilita Microsoft Entra ID.

5. Selezionare Chiudi.

   

Dopo l'abilitazione del provider Microsoft Entra:

• Gli utenti nel tenant di Microsoft Entra possono accedere al portale per sviluppatori usando un account Microsoft Entra.
• Puoi gestire la configurazione del provider di identità di Microsoft Entra nella pagina Identità del portale per sviluppatori> nel portale.
• Facoltativamente, aggiornare la registrazione dell'app in Microsoft Entra ID per supportare più tenant, come descritto in Configurare la registrazione dell'app per più tenant. Il nome della registrazione predefinita dell'app creata da Gestione API corrisponde al nome dell'istanza di Gestione API.
• Facoltativamente, configurare altre impostazioni di accesso selezionando Identità>Impostazioni. Ad esempio, è possibile reindirizzare gli utenti anonimi alla pagina di accesso.
• Ripubblicare il portale per sviluppatori dopo qualsiasi modifica della configurazione.

Abilitare manualmente l'applicazione Microsoft Entra e il provider di identità

In alternativa, abilitare manualmente Microsoft Entra ID nel portale per sviluppatori registrando manualmente un'applicazione in Microsoft Entra ID e configurando il provider di identità per il portale per sviluppatori.

1. Nel menu a sinistra dell'istanza di Gestione API, in Portale per sviluppatori selezionare Identità.

2. Selezionare + Aggiungi nella parte superiore per aprire il riquadro Aggiungi provider di identità a destra.

3. In Tipo selezionare Microsoft Entra ID dal menu a discesa. Quando si seleziona questa opzione, è possibile immettere altre informazioni necessarie.

   • Nell'elenco a discesa Libreria client selezionare MSAL.
   • Per aggiungere ID client e Segreto client, vedere i passaggi più avanti nell'articolo.

4. Salvare l'URL di reindirizzamento per un secondo momento.

   

5. In una nuova scheda del browser, aprire il portale di Azure.

6. Passare a Registrazioni delle app per registrare un'app in Microsoft Entra ID.

7. Selezionare Nuova registrazione. Nella pagina Registra un'applicazione impostare i valori come segue:

   • Impostare Nome su un nome significativo, ad esempio portale-sviluppatori
   • Impostare Tipi di account supportati, impostare una selezione appropriata per gli scenari. Se si vuole consentire agli utenti in più tenant di Microsoft Entra ID di accedere al portale per sviluppatori, selezionare Account in qualsiasi directory organizzativa (Multitenant).
   • In URI di reindirizzamento, selezionare Applicazione a pagina singola e incollare l'URL di reindirizzamento salvato da un passaggio precedente.
   • Selezionare Registra.

8. Dopo aver registrato l'applicazione, copia l'ID dell'applicazione (client) dalla sezione Panoramica.

9. Passare alla scheda del browser con l'istanza di Gestione API.

10. Nella finestra Aggiungi provider di identità incollare il valore di ID applicazione (client) nella casella ID client.

11. Passare alla scheda del browser con la registrazione dell'app.

12. Selezionare la registrazione dell'app appropriata.

13. Nella sezione Gestisci del menu laterale selezionare Certificati e segreti.

14. Nella pagina Certificati e segreti, selezionare il pulsante Nuovo segreto client sotto Segreti client.

    • Compilare il campo Descrizione.
    • Selezionare un'opzione per Scadenza.
    • Scegliere Aggiungi.

15. Copiare il valore del segreto client prima di uscire dalla pagina. Saranno necessarie in un passaggio successivo.

16. In Gestisci nel menu laterale selezionare Configurazione token>+ Aggiungi attestazione facoltativa.

    1. In Tipo di token selezionare ID.
    2. Selezionare (controllare) le attestazioni seguenti: email, family_name, given_name.
    3. Selezionare Aggiungi. Se richiesto, selezionare Attiva e-mail di Microsoft Graph, autorizzazione profilo.

17. Passare alla scheda del browser con l'istanza di Gestione API.

18. Incollare il segreto nel campo Segreto client nel riquadro Aggiungi provider di identità.

    Importante

    Aggiornare il segreto client prima della scadenza della chiave.

19. In Tenant di accesso specificare un nome o un ID tenant da usare per l'accesso a Microsoft Entra. Se non si specifica un valore, viene usato l'endpoint comune.

20. In Tenant consentiti, aggiungi uno o più nomi o ID di tenant specifici di Microsoft Entra per accedere a Microsoft Entra.

    Note

    Se vengono specificati tenant aggiuntivi, la registrazione dell'app deve essere configurata per supportare più tenant. Per altre informazioni, vedere Configurare la registrazione dell'app per più tenant.

21. Dopo aver specificato la configurazione desiderata, selezionare Aggiungi.

22. Ripubblicare il portale per sviluppatori per rendere effettiva la configurazione di Microsoft Entra. Nel menu a sinistra, in Portale per sviluppatori, selezionare Panoramica del portale>Pubblica.

Dopo l'abilitazione del provider Microsoft Entra:

• Gli utenti nel/i di Microsoft Entra specificato/i possono accedere al portale per sviluppatori usando un account Microsoft Entra.
• Puoi gestire la configurazione di Microsoft Entra nella pagina Portale per sviluppatori>Identità nel portale.
• Facoltativamente, configurare altre impostazioni di accesso selezionando Identità>Impostazioni. Ad esempio, è possibile reindirizzare gli utenti anonimi alla pagina di accesso.
• Ripubblicare il portale per sviluppatori dopo qualsiasi modifica della configurazione.

Migra su MSAL

Se in precedenza è stata configurata un'app Microsoft Entra per l'accesso utente tramite ADAL, è possibile usare il portale per eseguire la migrazione dell'app a MSAL e aggiornare il provider di identità in Gestione API.

Aggiornare l'app Microsoft Entra per la compatibilità MSAL

Per i passaggi, vedere Passare gli URI di reindirizzamento al tipo di applicazione a pagina singola.

Aggiornare la configurazione del provider di identità

1. Nel menu a sinistra dell'istanza di Gestione API, in Portale per sviluppatori selezionare Identità.
2. Selezionare Microsoft Entra ID dall'elenco.
3. Nell'elenco a discesa Libreria client selezionare MSAL.
4. Selezionare Aggiorna.
5. Ripubblicare il portale per sviluppatori.

Abilitare l'accesso da parte di utenti esterni nel tenant di Microsoft Entra ID (facoltativo)

La gestione delle API supporta provider di identità esterni quando vengono configurati in un tenant Microsoft Entra ID per la forza lavoro. Ad esempio, se si abilita l'accesso al portale per sviluppatori da parte degli utenti nel tenant della forza lavoro, ad esempio l'organizzazione Contoso, è possibile configurare Google o Facebook come provider di identità esterno in modo che questi utenti esterni possano accedere anche usando i propri account.

Per abilitare facoltativamente l'accesso al portale per sviluppatori da parte di utenti esterni nel tenant di Microsoft Entra ID, completare la procedura seguente:

1. Aggiungi un provider di identità esterno al tenant di Microsoft Entra ID.
2. Abilitare l'iscrizione self-service.

1. Aggiungere un provider di identità esterno al tenant di Microsoft Entra ID

Per questo scenario, è necessario abilitare un provider di identità esterno nel tenant della forza lavoro. La configurazione del provider di identità esterno dipende dal provider specifico e non rientra nell'ambito di questo articolo. Ad esempio, per Google è necessario creare un progetto in Google Developers Console, quindi configurare le credenziali del progetto in Microsoft Entra.

Per le opzioni e i collegamenti ai passaggi, vedere Provider di identità per ID esterno nei tenant della forza lavoro.

2. Abilitare l'iscrizione auto-servizio

Per consentire agli utenti esterni di registrarsi per l'accesso al portale per sviluppatori, completare la procedura seguente:

a. Consentire la registrazione self-service per il tenant.

b. Aggiungere l'app al flusso utente di iscrizione self-service.

Per altre informazioni e procedure dettagliate, vedere Aggiungere flussi utente di registrazione self-service per la collaborazione B2B.

Abilitare l'accesso da parte degli utenti in più tenant di Microsoft Entra ID (facoltativo)

Per abilitare facoltativamente l'accesso al portale per sviluppatori da più tenant di Microsoft Entra ID, completare la procedura seguente:

1. Configurare la registrazione dell'app per più tenant.
2. Aggiornare la configurazione del provider di identità Microsoft Entra ID per il portale per sviluppatori per aggiungere un altro tenant.

1. Configurare la registrazione dell'app per più tenant

La registrazione dell'app deve supportare più tenant. È possibile configurare questo supporto in uno dei modi seguenti:

• Quando si crea la registrazione dell'app, impostare Tipi di account supportati su Account in qualsiasi directory organizzativa (qualsiasi tenant Microsoft Entra ID - Multitenant).
• Se in precedenza è stata configurata una registrazione dell'app per un singolo tenant, aggiornare l'impostazione Tipi di account supportati nella pagina Gestisci>autenticazione della registrazione dell'app.

2. Aggiornare la configurazione del provider di identità Microsoft Entra ID per più tenant

Aggiornare la configurazione del provider di identità per aggiungere un altro tenant:

1. Nel portale di Azure, passare all'istanza di Gestione API.
2. In Portale per sviluppatori selezionare Identità.
3. Selezionare Microsoft Entra ID dall'elenco.
4. Nel campo ID tenant aggiungere gli ID tenant aggiuntivi separati da virgole.
5. Aggiornare il valore di Signin tenant a uno dei tenant configurati.
6. Selezionare Aggiorna.
7. Ripubblicare il portale per sviluppatori.

Aggiungere un gruppo Microsoft Entra esterno

Dopo aver abilitato l'accesso per gli utenti in un tenant di Microsoft Entra, è possibile:

• Aggiungere gruppi di Microsoft Entra in Gestione API. È necessario aggiungere gruppi nel tenant in cui è stata distribuita l'istanza di Gestione API.
• Controllare la visibilità dei prodotti usando i gruppi di Microsoft Entra.

1. Passare alla pagina Registrazione app per l'applicazione registrata nella sezione precedente.
2. Selezionare Autorizzazioni API.
3. Aggiungere le autorizzazioni minime seguenti dell'applicazione per l'API Microsoft Graph:
   • User.Read.All autorizzazione dell'applicazione: in modo che Gestione API possa leggere l'appartenenza al gruppo dell'utente per eseguire la sincronizzazione dei gruppi quando l'utente esegue l'accesso.
   • Group.Read.All autorizzazione dell'applicazione: in modo che Gestione API possa leggere i gruppi di Microsoft Entra quando un amministratore tenta di aggiungere il gruppo a Gestione API usando il pannello Gruppi nel portale.
4. Selezionare Concedi consenso amministratore per {tenantname} per concedere l'accesso a tutti gli utenti in questa directory.

Ora è possibile aggiungere gruppi esterni di Microsoft Entra dalla scheda Gruppi dell'istanza di Gestione API.

1. In Portale per sviluppatori nel menu laterale selezionare Gruppi.

2. Selezionare il pulsante Aggiungi gruppo di Microsoft Entra.

   

3. Selezionare il Tenant dalla casella a discesa.

4. Cercare e selezionare il gruppo da aggiungere.

5. Seleziona Seleziona.

Dopo aver aggiunto un gruppo Esterno di Microsoft Entra, è possibile esaminare e configurarne le proprietà:

1. Nella scheda Gruppi selezionare il nome del gruppo.
2. Modificare le informazioni del gruppo nelle caselle Nome e Descrizione.

Gli utenti dell'istanza configurata di Microsoft Entra possono ora:

• Accedere al portale per sviluppatori.
• Visualizzare e sottoscrivere qualsiasi gruppo per cui hanno visibilità.

Sincronizzare gruppi di Microsoft Entra con Gestione API

I gruppi configurati in Microsoft Entra devono eseguire la sincronizzazione con Gestione API in modo che sia possibile aggiungerli all'istanza. Se i gruppi non vengono sincronizzati automaticamente, usare uno dei passaggi seguenti per sincronizzare manualmente le informazioni sui gruppi:

• Disconnettersi e accedere a Microsoft Entra ID. Questa procedura attiva in genere la sincronizzazione dei gruppi.
• Assicurarsi di specificare il tenant di accesso di Microsoft Entra nello stesso modo (usando l'ID tenant o il nome di dominio) nelle impostazioni di configurazione in Gestione API. Specificare il tenant di accesso nel provider di identità Microsoft Entra ID per il portale per sviluppatori e quando si aggiunge un gruppo Microsoft Entra a Gestione API.

Portale per sviluppatori: aggiungere l'autenticazione dell'account Microsoft Entra

Nel portale per sviluppatori è possibile abilitare l'accesso con Microsoft Entra ID usando il pulsante Accedi: widget OAuth incluso nella pagina di accesso del contenuto predefinito del portale per sviluppatori.

Un utente può quindi accedere usando Microsoft Entra ID come indicato di seguito:

1. Passare al portale per sviluppatori. Fare clic su Accedi.

2. Nella pagina Accedi selezionare Microsoft Entra ID. Se si seleziona questo pulsante, viene visualizzata la pagina di accesso di Microsoft Entra ID.

   

   Suggerimento

   Se si configurano più tenant per l'accesso, nella pagina di accesso viene visualizzato più di un pulsante Microsoft Entra ID. Ogni pulsante viene etichettato con il nome del tenant.

3. Nella finestra di accesso per il tenant di Microsoft Entra rispondere alle richieste.

   Note

   Se hai abilitato un provider di identità esterno nel tenant di Microsoft Entra e configurato la registrazione self-service, seleziona il provider di identità esterno nella finestra di accesso per effettuare l'accesso con quelle credenziali. Ad esempio, se Google è stato configurato come provider di identità, selezionare Accedi con Google.

Al termine dell'accesso, l'utente viene reindirizzato al portale per sviluppatori. L'utente ha eseguito l'accesso al portale per sviluppatori ed è stato aggiunto come nuova identità utente di Gestione API in Utenti.

Anche se un nuovo account viene creato automaticamente quando un nuovo utente accede usando Microsoft Entra ID, è consigliabile aggiungere lo stesso widget alla pagina di iscrizione. Il modulo di iscrizione: il widget OAuth rappresenta un modulo usato per l'iscrizione tramite OAuth.

Contenuti correlati

• Per altre informazioni su Microsoft Entra ID e OAuth 2.0, vedere Microsoft Entra ID e OAuth2.0.
• Per altre informazioni su MSAL, vedere MSAL e migrazione a MSAL.
• Per risolvere i problemi di connettività di rete a Microsoft Graph dall'interno di una rete virtuale, vedere Risolvere i problemi di connettività di rete a Microsoft Graph dall'interno di una rete virtuale.