Informacje o poświadczeniach interfejsu API i menedżerze poświadczeń
DOTYCZY: Wszystkie warstwy usługi API Management
Aby ułatwić zarządzanie dostępem do interfejsów API zaplecza, wystąpienie usługi API Management zawiera menedżera poświadczeń. Menedżer poświadczeń służy do zarządzania poświadczeniami interfejsu API, przechowywania i kontrolowania dostępu do poświadczeń interfejsu API z wystąpienia usługi API Management.
Uwaga
- Obecnie można użyć menedżera poświadczeń do konfigurowania połączeń (dawniej nazywanych autoryzacjami) dla interfejsów API OAuth 2.0 zaplecza i zarządzania nimi.
- Menedżer poświadczeń nie wprowadza żadnych zmian powodujących niezgodność. Dostawcy poświadczeń i połączenia protokołu OAuth 2.0 używają istniejących interfejsów API autoryzacji usługi API Management i dostawcy zasobów.
Połączenia zarządzane dla interfejsów API protokołu OAuth 2.0
Za pomocą menedżera poświadczeń można znacznie uprościć proces uwierzytelniania i autoryzowania użytkowników, grup i jednostek usługi w co najmniej jednym zapleczu lub usługach SaaS korzystających z protokołu OAuth 2.0. Za pomocą menedżera poświadczeń usługi API Management można łatwo skonfigurować protokół OAuth 2.0, wyrazić zgodę, uzyskać tokeny, tokeny pamięci podręcznej w magazynie poświadczeń i odświeżać tokeny bez konieczności pisania pojedynczego wiersza kodu. Użyj zasad dostępu, aby delegować uwierzytelnianie do wystąpienia usługi API Management, jednostek usługi, użytkowników lub grup. Aby uzyskać informacje na temat przepływu kodu autoryzacji OAuth 2.0, zobacz Platforma tożsamości Microsoft i przepływ kodu autoryzacji OAuth 2.0.
Ta funkcja umożliwia uwidocznienie interfejsów API z kluczem subskrypcji lub bez niego, używanie autoryzacji OAuth 2.0 dla usług zaplecza oraz zmniejszanie kosztów programowania w zwiększaniu, implementowaniu i utrzymywaniu funkcji zabezpieczeń za pomocą integracji usług.
Przykładowe przypadki użycia
Za pomocą połączeń OAuth zarządzanych w usłudze API Management klienci mogą łatwo łączyć się z dostawcami SaaS lub usługami zaplecza korzystającymi z protokołu OAuth 2.0. Oto kilka przykładów:
Łatwe nawiązywanie połączenia z zapleczem SaaS przez dołączenie przechowywanego tokenu autoryzacji i żądań serwera proxy
Żądania serwera proxy do aplikacji internetowej usługi aplikacja systemu Azure Service lub zaplecza usługi Azure Functions przez dołączenie tokenu autoryzacji, który może później wysyłać żądania do zaplecza SaaS stosując logikę przekształcania
Żądania serwera proxy do zapleczy federacyjnych graphQL przez dołączenie wielu tokenów dostępu w celu łatwego wykonywania federacji
Uwidaczniaj punkt końcowy tokenu pobierania, uzyskiwanie buforowanego tokenu i wywoływanie zaplecza SaaS w imieniu użytkownika z dowolnego wystąpienia obliczeniowego, na przykład aplikacji konsolowej lub demona Kubernetes. Połącz swój ulubiony zestaw SDK SaaS w obsługiwanym języku.
Scenariusze nienadzorowane usługi Azure Functions podczas nawiązywania połączenia z wieloma zapleczami SaaS.
Rozszerzenie Durable Functions zbliża się do usługi Logic Apps z łącznością SaaS.
W przypadku połączeń OAuth 2.0 każdy interfejs API w usłudze API Management może pełnić rolę łącznika niestandardowego usługi Logic Apps.
Jak działa menedżer poświadczeń?
Poświadczenia tokenu w menedżerze poświadczeń składają się z dwóch części: zarządzania i środowiska uruchomieniowego.
Część zarządzania w Menedżerze poświadczeń zajmuje się konfigurowaniem i konfigurowaniem dostawcy poświadczeń dla tokenów OAuth 2.0, włączaniem przepływu zgody dla dostawcy tożsamości i konfigurowaniem co najmniej jednego połączenia z dostawcą poświadczeń w celu uzyskania dostępu do poświadczeń. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie połączeniami.
Część środowiska uruchomieniowego używa
get-authorization-contextzasad do pobierania i przechowywania tokenów dostępu i odświeżania połączenia. Po wywołaniu usługi API Management i wykonaniuget-authorization-contextzasad najpierw sprawdza, czy istniejący token autoryzacji jest prawidłowy. Jeśli token autoryzacji wygasł, usługa API Management używa przepływu OAuth 2.0 w celu odświeżenia przechowywanych tokenów od dostawcy tożsamości. Następnie token dostępu jest używany do autoryzowania dostępu do usługi zaplecza. Aby uzyskać szczegółowe informacje, zobacz Runtime of connections (Środowisko uruchomieniowe połączeń).
Kiedy używać menedżera poświadczeń?
Poniżej przedstawiono trzy scenariusze korzystania z menedżera poświadczeń.
Scenariusz konfiguracji
Po skonfigurowaniu dostawcy poświadczeń i połączeniu menedżer interfejsu API może przetestować połączenie. Menedżer interfejsu API konfiguruje testowy interfejs API OAuth zaplecza do używania get-authorization-context zasad przy użyciu tożsamości zarządzanej wystąpienia. Menedżer interfejsów API może następnie przetestować połączenie, wywołując testowy interfejs API.
Scenariusz nienadzorowany
Domyślnie po utworzeniu połączenia zasady dostępu i połączenie są wstępnie skonfigurowane dla tożsamości zarządzanej wystąpienia usługi API Management. Aby użyć takiego połączenia, różni użytkownicy mogą zalogować się do aplikacji klienckiej, takiej jak statyczna aplikacja internetowa, która następnie wywołuje interfejs API zaplecza uwidoczniony za pośrednictwem usługi API Management. Aby wykonać to wywołanie, połączenia są stosowane przy użyciu get-authorization-context zasad. Ponieważ wywołanie interfejsu API używa wstępnie skonfigurowanego połączenia, które nie jest powiązane z kontekstem użytkownika, te same dane są zwracane do wszystkich użytkowników.
Scenariusz z udziałem (delegowany przez użytkownika)
Aby włączyć uproszczone środowisko uwierzytelniania dla użytkowników aplikacji klienckich, takich jak statyczne aplikacje internetowe, które wywołuje interfejsy API SaaS zaplecza, które wymagają kontekstu użytkownika, możesz włączyć dostęp do połączenia w imieniu użytkownika lub tożsamości grupy firmy Microsoft. W takim przypadku skonfigurowany użytkownik musi zalogować się i wyrazić zgodę tylko raz, a wystąpienie usługi API Management utworzy połączenie i będzie nim zarządzać. Gdy usługa API Management pobiera przychodzące wywołanie, które ma zostać przekazane do usługi zewnętrznej, dołącza token dostępu z połączenia do żądania. Jest to idealne rozwiązanie w przypadku, gdy żądania interfejsu API i odpowiedzi są kierowane do osoby fizycznej (na przykład pobierania informacji o profilu specyficznym dla użytkownika).
Jak skonfigurować menedżera poświadczeń?
Wymagania
Tożsamość przypisana przez system zarządzana musi być włączona dla wystąpienia usługi API Management.
Wystąpienie usługi API Management musi mieć łączność wychodzącą z Internetem na porcie 443 (HTTPS).
Dostępność
Wszystkie warstwy usługi API Management
Nieobsługiwane w bramie hostowanej samodzielnie
Nieobsługiwane w suwerennych chmurach lub w następujących regionach: australiacentral, australiacentral2, indiecentral
Przykłady krok po kroku
- Konfigurowanie menedżera poświadczeń — interfejs API usługi GitHub
- Konfigurowanie menedżera poświadczeń — interfejs API programu Microsoft Graph
- Konfigurowanie menedżera poświadczeń — dostęp delegowany przez użytkownika
Zagadnienia dotyczące zabezpieczeń
Token dostępu i inne wpisy tajne (na przykład wpisy tajne klienta) są szyfrowane za pomocą szyfrowania koperty i przechowywane w wewnętrznym, wielodostępnym magazynie. Dane są szyfrowane przy użyciu protokołu AES-128 przy użyciu klucza unikatowego dla danych. Te klucze są szyfrowane asymetrycznie przy użyciu certyfikatu głównego przechowywanego w usłudze Azure Key Vault i obracane co miesiąc.
Limity
| Zasób | Limit |
|---|---|
| Maksymalna liczba dostawców poświadczeń na wystąpienie usługi | 1000 |
| Maksymalna liczba połączeń na dostawcę poświadczeń | 10,000 |
| Maksymalna liczba zasad dostępu na połączenie | 100 |
| Maksymalna liczba żądań autoryzacji na minutę na połączenie | 250 |
Często zadawane pytania
Kiedy tokeny dostępu są odświeżane?
W przypadku połączenia kodu autoryzacji typu tokeny dostępu są odświeżane w następujący sposób: Po get-authorization-context wykonaniu zasad w czasie wykonywania usługa API Management sprawdza, czy przechowywany token dostępu jest prawidłowy. Jeśli token wygasł lub zbliża się do wygaśnięcia, usługa API Management używa tokenu odświeżania do pobrania nowego tokenu dostępu i nowego tokenu odświeżania od skonfigurowanego dostawcy tożsamości. Jeśli token odświeżania wygasł, zostanie zgłoszony błąd, a połączenie musi zostać ponownie uwierzytelnione, zanim będzie działać.
Co się stanie, jeśli wpis tajny klienta wygaśnie u dostawcy tożsamości?
W środowisku uruchomieniowym usługa API Management nie może pobrać nowych tokenów i wystąpi błąd.
Jeśli połączenie jest kodem autoryzacji typu, klucz tajny klienta musi zostać zaktualizowany na poziomie dostawcy poświadczeń.
Jeśli połączenie jest typu poświadczenia klienta, klucz tajny klienta musi zostać zaktualizowany na poziomie połączenia.
Czy ta funkcja jest obsługiwana przy użyciu usługi API Management działającej wewnątrz sieci wirtualnej?
Tak, o ile łączność wychodząca na porcie 443 jest włączona do tagu usługi Azure Połączenie ors. Aby uzyskać więcej informacji, zobacz Dokumentacja konfiguracji sieci wirtualnej.
Co się stanie po usunięciu dostawcy poświadczeń?
Wszystkie podstawowe połączenia i zasady dostępu również są usuwane.
Czy tokeny dostępu są buforowane przez usługę API Management?
W warstwach usług klasycznych i 2 token dostępu jest buforowany przez wystąpienie usługi API Management do 3 minut przed upływem czasu wygaśnięcia tokenu. Jeśli token dostępu jest krótszy niż 3 minuty od wygaśnięcia, czas buforowany będzie do czasu wygaśnięcia tokenu dostępu.
Tokeny dostępu nie są buforowane w warstwie Zużycie.
Powiązana zawartość
- Konfigurowanie dostawców poświadczeń dla połączeń
- Konfigurowanie i używanie połączenia dla interfejsu API programu Microsoft Graph lub interfejsu API usługi GitHub
- Konfigurowanie połączenia na potrzeby dostępu delegowanego przez użytkownika
- Konfigurowanie wielu połączeń dla dostawcy poświadczeń