Warning

仅在“开发人员”和“高级”层提供 Azure Active Directory 集成。

如何在 Azure API 管理中使用 Azure Active Directory 向开发人员帐户授权

概述

本指南介绍如何为 Azure Active Directory 中的用户启用对开发人员门户的访问。 本指南还介绍了如何通过添加包含 Azure Active Directory 用户的外部组来管理 Azure Active Directory 用户组。

若要完成本指南中的步骤,必须先有一个 Azure Active Directory,用于在其中创建应用程序。

如何使用 Azure Active Directory 向开发人员帐户授权

若要开始,请单击 API 管理服务的 Azure 门户中的“发布者门户”。 这会转到 API 管理发布者门户。

发布者门户

如果尚未创建 API 管理服务实例,请参阅 Azure API 管理入门教程中的创建 API 管理服务实例

单击左侧“API 管理”菜单中的“安全”,并单击“外部标识”。

外部标识

单击“Azure Active Directory”。 记下“重定向 URL”并在 Azure 经典门户中切换到 Azure Active Directory。

外部标识

单击“添加”按钮创建新的 Azure Active Directory 应用程序,并选择“添加我的组织正在开发的应用程序”。

添加新的 Azure Active Directory 应用程序

为应用程序输入一个名称,选择“Web 应用程序”和/或“Web API”,并单击“下一步”按钮。

新建 Azure Active Directory 应用程序

对于“登录 URL”,输入开发人员门户的登录 URL。 在此示例中,“登录 URL”为 https://aad03.portal.current.int-azure-api.cn/signin

对于“应用 ID URL”,输入 Azure Active Directory 的默认域或自定义域,并向其追加一个唯一字符串。 在此示例中,https://contoso5api.onmicrosoft.com 的默认域与指定的 /api 的后缀一起使用。

新 Azure Active Directory 应用程序的属性

单击对号按钮保存并创建应用程序,并切换到“配置”选项卡来配置新应用程序。

创建的新 Azure Active Directory 应用程序

如果将为此应用程序使用多个 Azure Active Directory,请针对“应用程序是多租户的”单击“是”。 默认值为“否”。

应用程序是多租户的

从发布者门户中“外部标识”选项卡的“Azure Active Directory”部分中复制“重定向 URL”,然后将其复制到“回复 URL”文本框中。

回复 URL

滚动到配置选项卡的底部、选择“应用程序权限”下拉列表,并选中“读取目录数据”。

应用程序权限

选择“委派权限”下拉菜单,并选中“启用登录并读取用户配置文件”。

委派的权限

有关应用程序和委托的权限的详细信息,请参阅访问图形 API

将“客户端 ID”复制到剪贴板。

客户端 ID

切换回发布者门户并粘贴从 Azure Active Directory 应用程序配置中复制的“客户端 ID”。

客户端 ID

切换回 Azure Active Directory 配置,并单击“密钥”部分中的“选择持续时间”下拉列表并指定间隔。 在此示例中使用“1 年”。

密钥

单击“保存”保存配置并显示密钥。 将该密钥复制到剪贴板。

记下此密钥。 关闭 Azure Active Directory 配置窗口后,无法再次显示密钥。

键

切换回发布者门户并将密钥粘贴到“客户端密码”文本框中。

客户端机密

“允许的租户”指定哪些目录有权访问 API 管理服务实例的 API。 指定要授予访问权限的 Azure Active Directory 实例的域。 可使用换行符、空格或逗号分隔多个域。

允许的租户

指定所需配置后,单击“保存”。

保存

保存更改后,指定的 Azure Active Directory 中的用户可按照使用 Azure Active Directory 帐户登录开发人员门户中的步骤登录到开发人员门户中。

可在“允许的租户”部分中指定多个域。 在任何用户可以从注册应用程序的原始域以外的其他域登录之前,不同域的全局管理员必须先授予权限以使应用程序访问目录数据。 要授予权限,全局管理员应转到 https://<URL of your developer portal>/aadadminconsent(例如 https://contoso.portal.azure-api.cn/aadadminconsent),键入他们要授予访问权限的 Active Directory 租户的域名,并单击“提交”。 在以下示例中,miaoaad.onmicrosoft.com 中的全局管理员想要授予对此特定开发人员门户的权限。

权限

在下一个屏幕中,会提示全局管理员确认授予权限。

权限

如果非全局管理员在得到全局管理员授权之前尝试登录,登录尝试会失败,并显示错误屏幕。

如何添加外部 Azure Active Directory 组

在为 Azure Active Directory 中的用户启用访问之前,可将 Azure Active Directory 组添加到 API 管理中,以便更轻松地管理具有所需产品的组中的开发人员关联。

若要配置外部 Azure Active Directory 组,必须先按照之前部分中的过程在“标识”选项卡中配置 Azure Active Directory。

从希望授予外部 Azure Active Directory 组访问权限的产品的“可见性”选项卡中添加该组。 单击“属性”,并单击所需产品的名称。

配置产品

切换到“可见性”选项卡,并单击“从 Azure Active Directory 添加组”。

添加组

从下拉列表中选择“Azure Active Directory 租户”,并在“要添加的组”文本框中键入所需组的名称。

选择组

此组名称可在 Azure Active Directory 的“组”列表中找到,如以下示例所示。

Azure Active Directory 组列表

单击“添加”来验证组名称并添加组。 在此示例中,将添加 Contoso 5 开发人员外部组。

添加的组

单击“保存”以保存新组选择。

从一个产品配置 Azure Active Directory 组后,可针对 API 管理服务实例中的其他产品在“可见性”选项卡上检查它。

若要查看和配置外部组的属性,添加它们后,从“组”选项卡中单击组名称。

管理组

从此处,可编辑组的“名称”和“说明”。

编辑组

来自已配置 Azure Active Directory 的用户可按照以下部分中的说明登录开发人员门户并查看和订阅任何他们拥有可见性的组。

如何使用 Azure Active Directory 帐户登录开发人员门户

要使用之前部分中配置的 Azure Active Directory 帐户登录开发人员门户,请使用来自 Active Directory 应用程序配置的“登录 URL”打开新浏览器,并单击“Azure Active Directory”。

开发人员门户

在 Azure Active Directory 中输入用户之一的凭据,并单击“登录”。

登录

如果需要其他信息,可能出现注册表单的提示。 完成注册表单并单击“登录”。

注册

用户现已登录到 API 管理服务实例的开发人员门户中。

注册完成