你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure API 管理中使用 Microsoft Entra ID 授权开发人员帐户

2025-10-02

适用范围：开发人员 | 基本 v2 | 标准 | 标准 v2 | 高级 | 高级 v2

本文将指导如何进行以下操作：

为组织中的Microsoft Entra ID 中的用户启用对开发人员门户的访问权限。
通过添加包含用户的外部组管理 Microsoft Entra 用户组。

有关保护开发人员门户选项的概述，请参阅保护对 API 管理开发人员门户的访问。

重要

本文已更新使用 Microsoft 身份验证库 (MSAL) 配置 Microsoft Entra 应用的步骤。
如果以前使用 Azure AD 身份验证库 (ADAL) 为用户登录配置了 Microsoft Entra 应用，建议迁移到 MSAL。

注意

有关使用 Microsoft Entra 外部 ID 允许外部身份登录开发人员门户的信息，请参阅使用 Microsoft Entra 外部 ID 授权访问 API 管理开发人员门户。

先决条件

完成创建 Azure API 管理实例快速入门。
在 Azure API 管理实例中导入并发布 API。
如果在 v2 层级中创建了实例，请启用开发人员门户。有关详细信息，请参阅教程：访问和自定义开发人员门户。

在 Azure Cloud Shell 中使用 Bash 环境。有关详细信息，请参阅 Azure Cloud Shell 入门。
如需在本地运行 CLI 参考命令，请安装 Azure CLI。如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。
- 如果使用的是本地安装，请使用 az login 命令登录 Azure CLI。若要完成身份验证过程，请遵循终端中显示的步骤。有关其他登录选项，请参阅使用 Azure CLI 向 Azure 进行身份验证。
- 出现提示时，请在首次使用时安装 Azure CLI 扩展。有关扩展的详细信息，请参阅使用和管理 Azure CLI 中的扩展。
- 运行 az version 以查找安装的版本和依赖库。若要升级到最新版本，请运行 az upgrade。

转到你的 API 管理实例

在 Azure 门户中，搜索并选择 API 管理服务：
在 API 管理服务 页上，选择 API 管理实例：

为了简化配置，API 管理可以为开发人员门户的用户自动启用 Microsoft Entra 应用程序和标识提供者。你也可以手动启用 Microsoft Entra 应用程序和标识提供者。

自动启用 Microsoft Entra 应用程序和标识提供者

在 API 管理实例的左侧菜单中的“开发人员门户”下，选择“门户概述”。
在“门户概述”页上，向下滚动到“启用 Microsoft Entra ID 用户登录”。
选择“启用 Microsoft Entra ID”。
在“启用 Microsoft Entra ID”页上，选择“启用 Microsoft Entra ID”。
选择关闭。

启用 Microsoft Entra 提供程序后：

指定 Microsoft Entra 实例中的用户可以使用 Microsoft Entra 帐户登录到开发人员门户。
可以在门户中的“开发人员门户”“标识”页上管理 Microsoft Entra 配置。>
（可选）通过选择“标识”“设置”来配置其他登录设置。例如，你可能希望将匿名用户重定向到登录页。
在进行配置更改后重新发布开发人员门户。

手动启用 Microsoft Entra 应用程序和标识提供者

在 API 管理实例的左侧菜单中的“开发人员门户”下，选择“标识”。
选择顶部的“+添加”，在右侧打开“添加标识提供者”窗格。
在“类型”下，从下拉菜单中选择“Microsoft Entra ID”。选择后，可以输入其他所需信息。
- 在“客户端库”下拉列表中，选择“MSAL”。
- 若要添加“客户端 ID”和“客户端密码”，请参阅本文后面的步骤。
保存“重定向 URL”供稍后使用。
在浏览器上的新标签页中打开 Azure 门户。
导航到“应用注册”以在 Active Directory 中注册应用。
选择“新注册”。在“注册应用程序”页上，将值设置如下：
- 将“名称”设置为有意义的名称，例如“developer-portal”
- 将“支持的帐户类型”设置为“任何组织目录中的帐户”。
- 在“重定向 URI”中，选择“单页应用程序(SPA)”，然后粘贴上一步保存的重定向 URL。
- 选择“注册” 。
注册应用程序之后，从“概述”页复制“应用程序(客户端) ID” 。
切换到包含你的 API 管理实例的浏览器标签页。
在“添加标识提供者”窗口中，将“应用程序(客户端) ID”值粘贴到“客户端 ID”框中。
切换到包含“应用注册”的浏览器标签卡。
选择适当的应用注册。
在边侧菜单的“管理”部分下，选择“证书和机密”。
在“证书和机密”页中，选择“客户端机密”下的“新建客户端机密”按钮。
- 输入“说明”。
- 为“过期”选择任一选项。
- 选择“添加” 。
在离开页面之前复制客户端的“机密”值。稍后需要用到此值。
在侧菜单中的“管理”下，选择“令牌配置”“+ 添加可选声明”。
1. 在“令牌类型”中，选择“ID”。
2. 选择（勾选）以下声明：email、family_name、given_name。
3. 选择添加。如果出现提示，请选择“启用 Microsoft Graph电子邮件、配置文件权限”。
切换到包含你的 API 管理实例的浏览器标签页。
将机密粘贴到“添加标识提供者”窗格的“客户端机密”字段中。

重要

在密钥过期之前更新“客户端机密”。
在登录租户中，指定要用于登录 Microsoft Entra 的租户名称或 ID。如果未指定任何值，则会使用通用终结点。
在“允许的租户”中，添加用于登录 Microsoft Entra 的特定 Microsoft Entra 租户名称或 ID。
指定所需配置后，选择“添加”。
重新发布开发人员门户以使 Microsoft Entra 配置生效。在左侧菜单中的“开发人员门户”下，选择“门户概述”“发布”。

启用 Microsoft Entra 提供程序后：

指定 Microsoft Entra 租户中的用户可以使用 Microsoft Entra 帐户登录到开发人员门户。
可以在门户中的“开发人员门户”“标识”页上管理 Microsoft Entra 配置。>
（可选）通过选择“标识”“设置”来配置其他登录设置。例如，你可能希望将匿名用户重定向到登录页。
在进行配置更改后重新发布开发人员门户。

迁移到 MSAL

如果以前使用 ADAL 为用户登录配置了 Microsoft Entra 应用，则可以使用门户将应用迁移到 MSAL，并在 API 管理中更新标识提供者。

更新 Microsoft Entra 应用以实现 MSAL 兼容性

有关步骤，请参阅将重定向 URI 切换为单页应用程序类型。

更新标识提供者配置

在 API 管理实例的左侧菜单中的“开发人员门户”下，选择“标识”。
从列表中选择“Microsoft Entra ID”。
在“客户端库”下拉列表中，选择“MSAL”。
选择“更新”。
重新发布开发人员门户。

添加外部 Microsoft Entra 组

为 Microsoft Entra 租户中的用户启用访问权限后，你可以：

将 Microsoft Entra 组添加到 API 管理中。添加的组必须位于部署 API 管理实例的租户中。
使用 Microsoft Entra 组控制产品可见性。

导航到你在上一部分注册的应用程序的“应用注册”页。
选择“API 权限”。
为 Microsoft 图形 API 添加以下最低应用程序权限：
- User.Read.All 应用程序权限 - 有了该权限，API 管理可以读取用户的组成员身份，以便在用户登录时执行组同步。
- Group.Read.All 应用程序权限 - 有了该权限，当管理员尝试使用门户中的“组”边栏选项卡将组添加到 API 管理时，API 管理可以读取 Microsoft Entra 组。
选择“为 {tenantname} 授予管理员同意”，以便为此目录中的所有用户授予访问权限。

现在可以从 API 管理实例的“组”选项卡添加外部 Microsoft Entra 组。

在边侧菜单中的“开发人员门户”下，选择“组” 。
选择“添加 Microsoft Entra 组”按钮。
从下拉菜单中选择“租户”。
搜索并选择要添加的组。
按“选择”按钮。

添加外部 Microsoft Entra 组后，可以查看和配置其属性：

从“组”选项卡中选择该组的名称。
编辑该组的“名称”和“说明”信息。

配置的 Microsoft Entra 实例中的用户现在可以：

登录到开发人员门户。
查看和订阅他们可以看到的任何组。

注意

在 Microsoft 标识平台中的权限和同意一文中详细了解“委托”权限类型和“应用程序”权限类型之间的差异。

将 Microsoft Entra 组与 API 管理同步

Microsoft Entra 中配置的组必须与 API 管理同步，以便你可以将其添加到实例。如果组未自动同步，请执行下列操作之一以手动同步组信息：

退出登录并再次登录到 Microsoft Entra ID。此活动通常会触发组的同步。
确保在 API 管理中的配置设置中以相同的方式（使用租户 ID 或域名之一）指定 Microsoft Entra 登录租户。在开发人员门户的 Microsoft Entra ID 标识提供者中，且在将 Microsoft Entra 组添加到 API 管理时指定登录租户。

开发人员门户：添加 Microsoft Entra 帐户身份验证

在开发人员门户中，可以使用默认开发人员门户内容的登录页上包含的“登录按钮: OAuth”小组件通过 Microsoft Entra ID 进行登录。

屏幕截图显示了开发人员门户中的 OAuth 小组件。

尽管当新用户使用 Microsoft Entra ID 登录时会自动创建一个新帐户，还是请考虑向注册页添加同一个小组件。 “注册表单：OAuth”小组件表示用于注册 OAuth 的表单。

重要

需要重新发布门户才能使 Microsoft Entra ID 更改生效。

反馈

此页面是否有帮助？