Microsoft Entra 外部 ID 是一种云标识管理解决方案,允许外部标识安全地访问应用和资源。 您可以用它通过外部身份管理对 API 管理开发人员门户的访问权限。
有关保护对开发人员门户访问权限的选项的概述,请参阅 对 API 管理开发人员门户的安全访问。
目前,API 管理支持在 Microsoft Entra ID 员工租户中配置的 Microsoft Entra 外部 ID 中的外部标识提供者。 例如,如果要使员工租户中的用户(例如 Contoso 组织)能够访问开发人员门户,则可能需要将 Google 或 Facebook 配置为外部标识提供者,以便这些外部用户也可以使用其帐户登录。 详细了解 Microsoft 外部 ID 中的外部租户和员工配置。
小窍门
API 管理现在支持通过单个应用注册和标识配置从多个Microsoft Entra ID 租户中的用户访问开发人员门户。 目前,开发人员层、标准层和高级层支持此功能。
重要
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息。
先决条件
- 用于启用外部访问的Microsoft Entra ID 租户(员工租户)。
- 在员工租户中创建应用程序并配置用户流的权限。
- API 管理实例。 如果还没有 Azure API 管理实例,请创建一个 Azure API 管理实例。
- 如果在 v2 层级中创建了实例,请启用开发人员门户。 有关详细信息,请参阅教程:访问和自定义开发人员门户。
将外部标识提供者添加到租户
对于此方案,必须在工作租户中为外部 ID 启用身份提供者。 配置外部身份提供商因特定提供商而异,本文不讨论。 有关选项和步骤的链接,请参阅 用于员工租户的外部 ID 身份提供者。
使用 Microsoft Entra ID 启用用户登录 - 门户
为了简化配置,API Management 可以为开发人员门户的用户自动启用 Microsoft Entra 应用程序和标识提供者。 你也可以手动启用 Microsoft Entra 应用程序和标识提供者。
自动启用 Microsoft Entra 应用程序和标识提供者
按照以下步骤在开发人员门户中自动启用 Microsoft Entra ID:
在 API Management 实例的左侧菜单中的“开发人员门户”下,选择“门户概述”。
在“门户概述”页上,向下滚动到“启用 Microsoft Entra ID 用户登录”。
选择“启用 Microsoft Entra ID”。
在“启用 Microsoft Entra ID”页上,选择“启用 Microsoft Entra ID”。
选择 关闭。
启用 Microsoft Entra 提供程序后:
- Microsoft Entra 租户中的用户可以 使用 Microsoft Entra 帐户登录到开发人员门户。
- 可以在 门户的开发人员门户>标识 页上管理Microsoft Entra 标识提供者配置。
- (可选)更新 Microsoft Entra ID 中的应用注册以支持多个租户,如 为多个租户配置应用注册中所述。 API 管理创建的默认应用注册的名称与 API 管理实例名称相同。
- (可选)通过选择“标识”>“设置”来配置其他登录设置。 例如,你可能希望将匿名用户重定向到登录页。
- 在进行配置更改后重新发布开发人员门户。
手动启用 Microsoft Entra 应用程序和标识提供者
或者,通过在 Microsoft Entra ID 中自行注册应用程序并配置开发人员门户的标识提供者,在开发人员门户中手动启用 Microsoft Entra ID。
在 API Management 实例的左侧菜单中的“开发人员门户”下,选择“标识”。
从顶部选择 “+ 添加 ”,打开右侧的 “添加标识提供者 ”窗格。
在“类型”下,从下拉菜单中选择“Microsoft Entra ID”。 选择此选项时,可以输入其他必要信息。
- 在 “客户端库 ”下拉列表中,选择 “MSAL”。
- 若要添加“客户端 ID”和“客户端密码”,请参阅本文后面的步骤。
保存重定向 URL 供稍后使用。
在浏览器上的新标签页中打开 Azure 门户。
导航到 应用注册 ,在 Microsoft Entra ID 中注册应用。
选择“新注册”。 在“注册应用程序”页上,将值设置如下:
- 将“名称”设置为有意义的名称,例如 developer-portal
- 设置 支持的帐户类型,选择适合你的方案。 如果要允许多个Microsoft Entra ID 租户中的用户访问开发人员门户,请选择任何组织目录中的帐户(多租户)。
- 在“重定向 URI”中,选择“单页应用程序 (SPA)”,然后粘贴上一步保存的重定向 URL。
- 选择“注册”。
注册应用程序后,从“概述”页复制应用程序(客户端)ID。
切换到包含你的 API Management 实例的浏览器标签页。
在“添加标识提供者”窗口中,将“应用程序(客户端)ID”值粘贴到“客户端 ID”框中。
切换到具有应用注册的浏览器选项卡。
选择适当的应用注册。
在边侧菜单的“管理”部分下,选择“证书和机密”。
在“证书和机密”页中,选择“客户端机密”下的“新建客户端机密”按钮。
- 输入说明。
- 选择过期中的任何选项。
- 选择 添加。
在离开页面之前复制客户端的机密值。 后面的步骤需要用到。
在侧菜单中的“管理”下,选择“令牌配置”>“+ 添加可选声明”。
- 在 令牌类型中,选择 ID。
- 选择(勾选)以下声明:email、family_name、given_name。
- 选择 并添加。 如果出现提示,请选择“打开 Microsoft Graph 电子邮件、配置文件权限”。
切换到包含你的 API Management 实例的浏览器标签页。
将机密粘贴到“添加标识提供者”窗格的“客户端机密”字段中。
重要
在密钥过期之前更新客户端机密。
在登录租户中,指定要用于登录 Microsoft Entra 的租户名称或 ID。 如果未指定值,将使用通用终结点。
在 “允许的租户”中,添加一个或多个特定的Microsoft Entra 租户名称或 ID 以登录 Microsoft Entra。
注释
如果指定其他租户,则必须将应用注册配置为支持多个租户。 有关详细信息,请参阅 为多个租户配置应用注册。
指定所需配置后,选择“添加”。
重新发布开发人员门户,使Microsoft Entra 配置生效。 在左侧菜单中的“开发人员门户”下,选择“门户概述”>“发布”。
启用 Microsoft Entra 提供程序后:
- 指定 Microsoft Entra 租户中的用户可以使用 Microsoft Entra 帐户登录到开发人员门户。
- 可以在门户中的“开发人员门户”>“标识”页上管理 Microsoft Entra 配置。
- (可选)通过选择“标识”>“设置”来配置其他登录设置。 例如,你可能希望将匿名用户重定向到登录页。
- 在进行配置更改后重新发布开发人员门户。
为租户启用自助注册
若要允许外部用户注册以访问开发人员门户,请完成以下步骤:
- 为外部租户启用自助注册。
- 将您的应用程序添加到自助注册流程中。
有关详细信息和详细步骤,请参阅 为 B2B 协作添加自助注册用户流。
使用 Microsoft Entra 外部 ID 登录到开发人员门户
在开发人员门户中,可以使用登录按钮:OAuth控件来启用通过 Microsoft Entra 外部 ID 登录。 该部件已包含在默认开发者门户网站内容的登录页面上。
然后,用户可以使用 Microsoft Entra 外部 ID 登录,如下所示:
转到开发人员门户。 选择“登录”。
在 “登录 ”页上,选择 Microsoft Entra ID。
小窍门
如果将多个Microsoft Entra 租户配置为访问,登录页上会显示多个Microsoft Entra ID 按钮。 每个按钮都标有租户名称。
在Microsoft Entra 租户的登录窗口中,选择 “登录”选项。 选择在您的 Microsoft Entra 租户中配置的外部标识提供者以登录。
若要继续登录,请响应提示。 登录完成后,用户将被重定向回开发人员门户。
用户现在登录到开发人员门户,在 用户中添加为新的 API 管理用户标识,并在 Microsoft Entra ID 中作为新的外部租户用户添加。