Auktorisera åtkomst till API:er i DITT API Center

Du kan konfigurera inställningar för att auktorisera åtkomst till API:er i api-centret. Följande inställningar:

• Aktivera API-autentisering med antingen API-nycklar eller OAuth 2.0-auktorisering
• Associera specifika autentiseringsmetoder med specifika API-versioner i ditt lager
• Hantera autentisering till API-versioner av utsedda användare eller grupper via åtkomstprinciper
• Gör det möjligt för behöriga användare att testa API:er direkt i API Center-portalen

Förutsättningar

• Ett API-center i din Azure-prenumeration. Om du inte redan har skapat ett kan du läsa Snabbstart: Skapa ditt API-center.

• Registrera minst ett API i api-centret. Mer information finns i Självstudie: Registrera API:er i api-inventeringen.

• Konfigurera en miljö och en distribution för API:et. Mer information finns i Självstudie: Lägga till miljöer och distributioner för API:er.

• Konfigurera API Center-portalen. Mer information finns i Konfigurera API Center-portalen.

• Ett Azure-nyckelvalv för att lagra API-nycklar eller OAuth 2.0-klienthemligheter. Anvisningar för hur du skapar ett nyckelvalv finns i Skapa ett nyckelvalv. Nyckelvalvet bör använda azure-behörighetsmodellen för rollbaserad åtkomstkontroll (RBAC).

• (För OAuth 2.0-auktorisering med Microsoft Entra-ID) Behörigheter för att skapa en appregistrering i en Microsoft Entra-klientorganisation som är associerad med din Azure-prenumeration.

Alternativ 1: Konfigurera inställningar för API-nyckelautentisering

För ett API som stöder API-nyckelautentisering följer du de här stegen för att konfigurera inställningar i DITT API Center.

1. Lagra API-nyckeln i Azure Key Vault

Om du vill hantera API-nyckeln på ett säkert sätt lagrar du den i Azure Key Vault och får åtkomst till nyckelvalvet med hjälp av API-centrets hanterade identitet.

Information om hur du lagrar API-nyckeln som en hemlighet i nyckelvalvet finns i Ange och hämta hemlighet i Key Vault.

Aktivera en hanterad identitet i api-centret

I det här scenariot använder API Center en hanterad identitet för att komma åt nyckelvalvet. Beroende på dina behov aktiverar du antingen en systemtilldelad eller en eller flera användartilldelade hanterade identiteter.

I följande exempel visas hur du aktiverar en systemtilldelad hanterad identitet med hjälp av Azure-portalen. På hög nivå liknar konfigurationsstegen en användartilldelad hanterad identitet.

1. Gå till API-centret i portalen.
2. I den vänstra menyn under Säkerhet väljer du Hanterade identiteter.
3. Välj Systemtilldelat och ange status till På.
4. Välj Spara.

Tilldela rollen Key Vault Secrets User till den hanterade identiteten

Tilldela api-centrets hanterade identitet rollen Key Vault Secrets User i ditt nyckelvalv. Följande steg använder Azure Portal.

1. I portalen navigerar du till ditt nyckelvalv.
2. Välj Åtkomstkontroll (IAM) i den vänstra menyn.
3. Välj + Lägg till rolltilldelning.
4. På sidan Lägg till rolltilldelning anger du följande värden:
   1. På fliken Roll väljer du Nyckelvalvshemlighetsanvändare.
   2. På fliken Medlemmar går du till Tilldela åtkomst till och väljer Hanterad identitet>+ Välj medlemmar.
   3. På sidan Välj hanterade identiteter väljer du den systemtilldelade hanterade identiteten för ditt API Center som du lade till i föregående avsnitt. Klicka på Välj.
   4. Välja Granska + tilldela igen.

2. Lägg till API-nyckelkonfiguration i API Center

1. Gå till API-centret i portalen.

2. I den vänstra menyn under Styrning väljer du Auktorisering (förhandsversion)>+ Lägg till konfiguration.

3. På sidan Lägg till konfiguration anger du värdena på följande sätt:

   Inställning	Beskrivning
   Titel	Ange ett namn för auktoriseringen.
   Beskrivning	Du kan också ange en beskrivning för auktoriseringen.
   Säkerhetsschema	Välj API-nyckel.
   API-nyckelplats	Välj hur nyckeln visas i API-begäranden. Tillgängliga värden är Rubrik (begärandehuvud) och Fråga (frågeparameter).
   API-nyckelparameternamn	Ange namnet på HTTP-huvudet eller frågeparametern som innehåller API-nyckeln. Exempel: x-api-key
   Hemlig referens för API-nyckelnyckelvalv	Klicka på Välj och välj den prenumeration, det nyckelvalv och den hemlighet som du har lagrat. Exempel: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>

4. Välj Skapa.

Alternativ 2: Konfigurera inställningar för OAuth 2.0-auktorisering

För ett API som stöder OAuth 2.0-auktorisering följer du de här stegen för att konfigurera autentiseringsinställningar i API-centret. Du kan konfigurera inställningar för en eller båda av följande OAuth 2.0-auktoriseringsflöden:

• Auktoriseringskodflöde med PKCE (Proof Key for Code Exchange) – Det här flödet rekommenderas för att autentisera användare i webbläsaren, till exempel i API Center-portalen.
• Flöde för klientautentiseringsuppgifter – Det här flödet rekommenderas för program som inte kräver en specifik användares behörighet att komma åt data.

1. Skapa en OAuth 2.0-app

För OAuth 2.0-auktorisering skapar du en appregistrering i en identitetsprovider, till exempel Microsoft Entra-klientorganisationen som är associerad med din Azure-prenumeration. De exakta stegen för att skapa beror på vilken identitetsprovider du använder.

I följande exempel visas hur du skapar en appregistrering i Microsoft Entra-ID.

1. Logga in på Azure-portalen med ett konto med tillräcklig behörighet i klientorganisationen.
2. Gå till Microsoft Entra ID>+ Ny registrering.
3. På sidan Registrera ett program anger du dina inställningar för programregistrering:
   1. I Namn anger du ett beskrivande namn för appen.
   2. I Kontotyper som stöds väljer du ett alternativ som passar ditt scenario, till exempel Endast konton i den här organisationskatalogen (enskild klientorganisation).
   3. (För auktoriseringskodflöde) I Omdirigerings-URI väljer du Enkelsidigt program (SPA) och anger URI:n. Ange URI:n för distributionen av API Center-portalen i följande formulär: https://<service-name>.portal.<location>.azure-api-center.ms. Ersätt <service name> och <location> med namnet på ditt API-center och platsen där det distribueras, Exempel: https://myapicenter.portal.eastus.azure-api-center.ms
   4. Välj Registrera.
4. I den vänstra menyn går du till Hantera, väljer Certifikat och hemligheter och sedan + Ny klienthemlighet.
   1. Ange en beskrivning.
   2. Välj ett alternativ för Upphör att gälla.
   3. Välj Lägg till.
   4. Kopiera klienthemlighetens Värde innan du lämnar sidan. Du behöver det i följande avsnitt.
5. Du kan också lägga till API-omfång i din appregistrering. Mer information finns i Konfigurera ett program för att exponera ett webb-API.

När du konfigurerar OAuth 2.0-auktorisering i api-centret behöver du följande värden från appregistreringen:

• Program-ID :t (klient) från appregistreringens översiktssida och klienthemligheten som du kopierade tidigare.
• Följande slutpunkts-URL:er på appregistreringens Översikt>Slutpunkter-sidan:
  • OAuth2.0-auktoriseringsslutpunkt (v2) – auktoriseringsslutpunkten för Microsoft Entra-ID
  • OAuth 2.0-tokenslutpunkt (v2) – slutpunkten för token och slutpunkten för tokenuppdatering för Microsoft Entra-ID
• Alla API-omfång som konfigurerats i appregistreringen.

2. Lagra klienthemlighet i Azure Key Vault

Om du vill hantera hemligheten på ett säkert sätt lagrar du den i Azure Key Vault och kommer åt nyckelvalvet med hjälp av API-centrets hanterade identitet.

Information om hur du lagrar API-nyckeln som en hemlighet i nyckelvalvet finns i Ange och hämta hemlighet i Key Vault.

Aktivera en hanterad identitet i api-centret

I det här scenariot använder API Center en hanterad identitet för att komma åt nyckelvalvet. Beroende på dina behov aktiverar du antingen en systemtilldelad eller en eller flera användartilldelade hanterade identiteter.

I följande exempel visas hur du aktiverar en systemtilldelad hanterad identitet med hjälp av Azure-portalen. På hög nivå liknar konfigurationsstegen en användartilldelad hanterad identitet.

1. Gå till API-centret i portalen.
2. I den vänstra menyn under Säkerhet väljer du Hanterade identiteter.
3. Välj Systemtilldelat och ange status till På.
4. Välj Spara.

Tilldela rollen Key Vault Secrets User till den hanterade identiteten

Tilldela api-centrets hanterade identitet rollen Key Vault Secrets User i ditt nyckelvalv. Följande steg använder Azure Portal.

1. I portalen navigerar du till ditt nyckelvalv.
2. Välj Åtkomstkontroll (IAM) i den vänstra menyn.
3. Välj + Lägg till rolltilldelning.
4. På sidan Lägg till rolltilldelning anger du följande värden:
   1. På fliken Roll väljer du Nyckelvalvshemlighetsanvändare.
   2. På fliken Medlemmar går du till Tilldela åtkomst till och väljer Hanterad identitet>+ Välj medlemmar.
   3. På sidan Välj hanterade identiteter väljer du den systemtilldelade hanterade identiteten för ditt API Center som du lade till i föregående avsnitt. Klicka på Välj.
   4. Välja Granska + tilldela igen.

3. Lägg till OAuth 2.0-auktorisering i API Center

1. Gå till API-centret i portalen.

2. I den vänstra menyn under Styrning väljer du Auktorisering (förhandsversion)>+ Lägg till konfiguration.

3. På sidan Lägg till konfiguration anger du värdena på följande sätt:

   

   Anmärkning

   Konfigurera inställningar baserat på den appregistrering som du skapade tidigare i din identitetsprovider. Om du använder Microsoft Entra-ID hittar du klient-ID:t på sidan Översikt för appregistreringen och hittar URL-slutpunkterna på sidanÖversiktsslutpunkter>.

   Inställning	Beskrivning
   Titel	Ange ett namn för auktoriseringen.
   Beskrivning	Du kan också ange en beskrivning för auktoriseringen.
   Säkerhetsschema	Välj OAuth2.
   Kund-ID	Ange klient-ID (GUID) för den app som du skapade i din identitetsprovider.
   Klienthemlighet	Klicka på Välj och välj den prenumeration, nyckelvalv och klienthemlighet som du har lagrat. Exempel: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>
   Auktoriserings-URL	Ange OAuth 2.0-auktoriseringsslutpunkten för identitetsprovidern. Exempel för Microsoft Entra-ID: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize
   Token-URL	Ange OAuth 2.0-tokenslutpunkten för identitetsprovidern. Exempel för Microsoft Entra-ID: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   Uppdatera URL	Ange slutpunkten för OAuth 2.0-tokenuppdatering för identitetsprovidern. För de flesta leverantörer, samma som token-URL:en Exempel för Microsoft Entra-ID: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   OAuth2-flöde	Välj ett eller båda av de OAuth 2.0-flöden som du vill använda. Tillgängliga värden är Auktoriseringskod (PKCE) och Klientautentiseringsuppgifter.
   Scoper	Ange ett eller flera API-omfång som konfigurerats för ditt API, avgränsat med blanksteg. Om inga omfång har konfigurerats anger du .default.

4. Spara konfigurationen genom att välja Skapa .

Lägga till autentiseringskonfiguration i en API-version

När du har konfigurerat inställningar för en API-nyckel eller ett OAuth 2.0-flöde lägger du till API-nyckeln eller OAuth 2.0-konfigurationen i en API-version i API Center.

1. Gå till API-centret i portalen.
2. I den vänstra menyn under Tillgångar väljer du API:er.
3. Välj ett API som du vill associera auktoriseringskonfigurationen med.
4. I den vänstra menyn går du till Information och väljer Versioner.
5. Välj den API-version som du vill lägga till autentiseringskonfigurationen i.
6. I den vänstra menyn går du till Information och väljer Hantera åtkomst (förhandsversion)>+ Lägg till autentisering.
7. På sidan Lägg till autentisering väljer du en tillgänglig autentiseringskonfiguration som du vill associera.
8. Välj Skapa.

Hantera åtkomst av specifika användare eller grupper

Du kan hantera åtkomst av specifika användare eller grupper i din organisation till en API-versions autentiseringskonfiguration. Det gör du genom att konfigurera en åtkomstprincip som tilldelar användare eller grupper rollen ÅTKOMSTläsare för API Center-autentiseringsuppgifter , begränsad till specifika autentiseringskonfigurationer i API-versionen. Detta är användbart om du till exempel bara vill tillåta att specifika användare testar ett API i API Center-portalen med hjälp av en API-nyckel eller ett OAuth 2.0-flöde.

1. Gå till API-centret i portalen.

2. Navigera till en API-version där du har lagt till en autentiseringskonfiguration (se föregående avsnitt).

3. Välj Hantera åtkomst (förhandsversion) under Information på den vänstra menyn.

4. Välj listrutan Redigera åtkomstprinciper i slutet av raden för den autentiseringskonfiguration vars åtkomst du vill hantera.

5. På sidan Hantera åtkomst väljer du + Lägg till > användare eller + Lägg till > grupper.

6. Sök efter och välj de användare (eller grupper) som du vill lägga till. Du kan välja flera objekt.

7. Klicka på Välj.

Testa API i API Center-portalen

Du kan använda API Center-portalen för att testa ett API som du har konfigurerat för autentisering och användaråtkomst.

1. Gå till API-centret i portalen.

2. I den vänstra menyn går du till API Center-portalen och väljer Portalinställningar.

3. Välj Visa API Center-portalen.

4. I API Center-portalen väljer du ett API som du vill testa.

5. Välj en version av API:et som har en konfigurerad autentiseringsmetod.

6. Under Alternativ väljer du Visa dokumentation.

7. Välj en åtgärd i API:et och välj Prova det här API:et.

8. Granska autentiseringsinställningarna i fönstret som öppnas. Om du har åtkomst till API:et väljer du Skicka för att prova API:et.

9. Om åtgärden lyckas visas svarskoden 200 OK och svarstexten. Om åtgärden misslyckas visas ett felmeddelande.

Relaterat innehåll

• Konfigurera API Center-portalen
• Aktivera Azure API Center-portalvyn i Visual Studio Code
• Autentisering och auktorisering till API:er i Azure API Management