الوصول الآمن إلى مدخل مطور APIM
ينطبق على: المطور | أساسي | الإصدار 2 الأساسي | قياسي | الإصدار 2 القياسي | Premium | Premium v2
لدى API Management مدخل مطور مدار قابل للتخصيص بشكل كامل، مستقل، والذي يمكن استخدامه خارجيا (أو داخليا) للسماح لمستخدمي المطور باكتشاف واجهات برمجة التطبيقات المنشورة من خلال APIM والتفاعل معها. مدخل المطور يحتوي على العديد من الخيارات لتسهيل تأمين تسجيل اشتراك المستخدم وتسجيل الدخول.
إشعار
بشكل افتراضي، يتيح مدخل المطور الوصول المجهول. وهذا يعني أنه يمكن لأي شخص عرض المدخل والمحتوى مثل واجهات برمجة التطبيقات دون تسجيل الدخول، على الرغم من تقييد الوظائف مثل استخدام وحدة تحكم الاختبار. يمكنك تمكين إعداد يتطلب من المستخدمين تسجيل الدخول لعرض مدخل المطور. في مدخل Microsoft Azure، في القائمة اليسرى لمثيل إدارة واجهة برمجة التطبيقات، ضمن مدخل المطور، حدد إعدادات الهويات>. ضمن المستخدمون المجهولون، حدد (تمكين) إعادة توجيه المستخدمين المجهولين إلى صفحة تسجيل الدخول.
خيارات المصادقة
المستخدمون الخارجيون - الخيار المفضل عند استهلاك مدخل المطور خارجيًا هو تمكين التحكم في الوصول من الأعمال إلى المستهلك من خلال Azure Active Directory B2C (Azure AD B2C).
- Azure AD B2C يوفر خيار استخدام حسابات B2C الأصلية Azure AD: يقوم المستخدمون بالتسجيل Azure AD B2C واستخدام هذه الهوية للوصول إلى مدخل المطور.
- كما أن Azure AD B2C مفيد إذا كنت تريد أن يصل المستخدمون إلى مدخل المطور باستخدام وسائل التواصل الاجتماعي الموجودة أو الحسابات التنظيمية الموحدة.
- Azure AD B2C يوفر العديد من الميزات لتحسين تجربة تسجيل المستخدم وتسجيل الدخول، بما في ذلك الوصول المشروط ومصادقة متعددة العوامل (MFA).
للحصول على خطوات لتمكين مصادقة B2C Azure AD في مدخل المطور، راجع كيفية تخويل حسابات المطورين باستخدام Azure Active Directory B2C في Azure APIM.
المستخدمون الداخليون - الخيار المفضل عند استهلاك مدخل المطور داخليا هو الاستفادة من معرف Microsoft Entra للشركات. يوفر معرف Microsoft Entra تجربة تسجيل دخول أحادي (SSO) سلسة لمستخدمي الشركات الذين يحتاجون إلى الوصول إلى واجهات برمجة التطبيقات واكتشافها من خلال مدخل المطور.
للحصول على خطوات لتمكين مصادقة Microsoft Entra في مدخل المطور، راجع كيفية تخويل حسابات المطورين باستخدام معرف Microsoft Entra في Azure API Management.
المصادقة الأساسية - الخيار الافتراضي هو استخدام اسم المستخدم وموفر كلمة المرور المضمنين في مدخل المطور، والذي يسمح للمطورين بالتسجيل مباشرة في APIM وتسجيل الدخول باستخدام حسابات مستخدمي APIM. تسجيل المستخدم من خلال هذا الخيار محمي بواسطة خدمة CAPTCHA.
تنبيه
بينما يمكنك استخدام المصادقة الأساسية لتأمين وصول المستخدمين إلى مدخل المطور، نوصي بتكوين أسلوب مصادقة أكثر أمانا مثل Microsoft Entra ID أو Azure AD B2C.
وحدة تحكم اختبار مدخل المطور
بالإضافة إلى توفير التكوين لمستخدمي المطور للتسجيل للوصول وتسجيل الدخول، يتضمن مدخل المطور وحدة تحكم اختبار حيث يمكن للمطورين إرسال طلبات الاختبار من خلال APIM إلى واجهات برمجة التطبيقات الخلفية. يوجد مرفق الاختبار هذا أيضًا للمستخدمين المساهمين في APIM الذين يديرون الخدمة باستخدام مدخل Microsoft Azure.
إذا تم تأمين واجهة برمجة التطبيقات المكشوفة من خلال Azure API Management باستخدام OAuth 2.0 - أي أن تطبيق الاستدعاء (الحامل) يحتاج إلى الحصول على رمز وصول صالح وتمريره - يمكنك تكوين إدارة واجهة برمجة التطبيقات لإنشاء رمز مميز صالح نيابة عن مستخدم وحدة تحكم اختبار مدخل Microsoft Azure أو مدخل المطور. لمزيد من المعلومات، راجع كيفية تخويل وحدة تحكم الاختبار لمدخل المطور عن طريق تكوين تخويل مستخدم OAuth 2.0.
لتمكين وحدة تحكم الاختبار من الحصول على رمز OAuth 2.0 صالح لاختبار واجهة برمجة التطبيقات:
إضافة خادم تخويل مستخدم OAuth 2.0 إلى المثيل الخاص بك. يمكنك استخدام أي موفر OAuth 2.0، بما في ذلك معرف Microsoft Entra أو Azure AD B2C أو موفر هوية تابع لجهة خارجية.
ثم قم بتكوين واجهة برمجة التطبيقات مع إعدادات خادم التخويل هذا. في المدخل، قم بتكوين تخويل OAuth 2.0 على صفحة >الإعدادات الخاصة بواجهة برمجة التطبيقات تخويل مستخدم الأمان>.
تكوين OAuth 2.0 هذا لاختبار واجهة برمجة التطبيقات مستقل عن التكوين المطلوب لوصول المستخدم إلى مدخل المطور. ومع ذلك، يمكن أن يكون موفر الهوية والمستخدم متشابهين. على سبيل المثال، قد يتطلب تطبيق إنترانت وصول المستخدم إلى مدخل المطور باستخدام SSO مع هوية الشركة الخاصة به. يمكن أن تحصل نفس هوية الشركة على رمز مميز، من خلال وحدة تحكم الاختبار، لخدمة الواجهة الخلفية التي يتم استدعاؤها بنفس سياق المستخدم.
السيناريوهات
خيارات المصادقة والتخويل المختلفة تنطبق على سيناريوهات مختلفة. الأقسام التالية تستكشف تكوينات عالية المستوى لثلاثة سيناريوهات نموذجية. هناك حاجة إلى مزيد من الخطوات لتأمين وتكوين واجهات برمجة التطبيقات المكشوفة بالكامل من خلال APIM. ومع ذلك، تركز السيناريوهات عمدًا على الحد الأدنى من التكوينات الموصى بها في كل حالة لتوفير المصادقة والتخويل المطلوبين.
السيناريو 1 - واجهة برمجة تطبيقات الإنترانت والتطبيقات
- مساهم APIM ومطور واجهة برمجة التطبيقات الخلفية يريد نشر واجهة برمجة تطبيقات مؤمنة بواسطة OAuth 2.0.
- سيتم استهلاك واجهة برمجة التطبيقات بواسطة تطبيقات سطح المكتب التي يقوم مستخدموها بتسجيل الدخول باستخدام SSO من خلال معرف Microsoft Entra.
- يحتاج مطورو تطبيقات سطح المكتب أيضًا إلى اكتشاف واجهات برمجة التطبيقات واختبارها عبر مدخل مطور APIM.
التكوينات الرئيسية:
| التكوين | المرجع |
|---|---|
| تخويل مستخدمي المطور لمدخل مطور APIM باستخدام هويات الشركة ومعرف Microsoft Entra. | تخويل حسابات المطورين باستخدام معرف Microsoft Entra في Azure API Management |
| قم بإعداد وحدة تحكم الاختبار في مدخل المطور للحصول على رمز OAuth 2.0 صالح لمطوري تطبيقات سطح المكتب لممارسة واجهة برمجة التطبيقات الخلفية. يمكن استخدام نفس التكوين لوحدة تحكم الاختبار في مدخل Microsoft Azure، والتي يمكن الوصول إليها من قبل المساهمين في APIM ومطوري الواجهة الخلفية. يمكن استخدام الرمز المميز بالاشتراك مع مفتاح اشتراك APIM. |
كيفية تخويل وحدة تحكم الاختبار لمدخل المطور عن طريق تكوين تخويل مستخدم OAuth 2.0 Subscriptions in Azure API Management |
| تحقق من صحة الرمز المميز OAuth 2.0 والمطالبات عند استدعاء واجهة برمجة التطبيقات من خلال APIM مع رمز مميز للوصول. | التحقق من صحة نهج JWT |
انتقل إلى أبعد من ذلك باستخدام هذا السيناريو عن طريق نقل APIM إلى محيط الشبكة والتحكم في الدخول من خلال وكيل عكسي. للحصول على بنية مرجعية، راجع حماية واجهات برمجة التطبيقات باستخدام بوابة التطبيق وAPIM.
السيناريو 2 - واجهة برمجة التطبيقات الخارجية، تطبيق الشريك
- يريد مساهم APIM ومطور واجهة برمجة التطبيقات الخلفية إجراء إثبات سريع للمفهوم لعرض واجهة برمجة تطبيقات قديمة من خلال إدارة واجهة برمجة تطبيقات Azure. ستواجه واجهة برمجة التطبيقات من خلال APIM خارجيًا (الإنترنت).
- تستخدم واجهة برمجة التطبيقات مصادقة شهادة العميل وسيتم استهلاكها بواسطة تطبيق جديد ذو صفحة واحدة (SPA) عام يتم تطويره في الخارج من قبل شريك.
- يستخدم SPA OAuth 2.0 مع OpenID Connect (OIDC).
- سيدخل مطورو التطبيقات إلى واجهة برمجة التطبيقات في بيئة اختبار من خلال مدخل المطور، باستخدام نقطة نهاية خلفية اختبار لتسريع تطوير الواجهة الأمامية.
التكوينات الرئيسية:
| التكوين | المرجع |
|---|---|
| تكوين وصول مطور الواجهة الأمامية إلى مدخل المطور باستخدام اسم المستخدم الافتراضي ومصادقة كلمة المرور. يمكن أيضًا دعوة المطورين إلى مدخل المطور. |
تكوين مستخدمي مدخل المطور للمصادقة باستخدام أسماء المستخدمين وكلمات المرور كيفية إدارة حسابات المستخدمين في Azure API Management |
| تحقق من صحة الرمز المميز OAuth 2.0 والمطالبات عندما يستدعي SPA APIM برمز مميز للوصول. في هذه الحالة، الجمهور هو APIM. | التحقق من صحة نهج JWT |
| إعداد APIM لاستخدام مصادقة شهادة العميل إلى الخلفية. | تأمين خدمات الواجهة الخلفية باستخدام مصادقة شهادة العميل في Azure API Management |
انتقل إلى أبعد من ذلك مع هذا السيناريو باستخدام مدخل المطور مع تخويل Microsoft Entra وتعاون Microsoft Entra B2B للسماح لشركاء التسليم بالتعاون بشكل أوثق. ضع في اعتبارك تفويض الوصول إلى APIM من خلال RBAC في بيئة تطوير أو اختبار وتمكين SSO في مدخل المطور باستخدام بيانات اعتماد الشركة الخاصة بها.
السيناريو 3 - واجهة برمجة التطبيقات الخارجية، SaaS، مفتوحة للجمهور
يقوم مساهم APIM ومطور واجهة برمجة التطبيقات الخلفية بكتابة العديد من واجهات برمجة التطبيقات الجديدة التي ستكون متاحة لمطوري المجتمع.
ستكون واجهات برمجة التطبيقات متاحة للجمهور، مع حماية الوظائف الكاملة خلف paywall وتأمينها باستخدام OAuth 2.0. بعد شراء ترخيص، سيتم تزويد المطور ببيانات اعتماد العميل الخاصة به ومفتاح الاشتراك الصالح للاستخدام الإنتاجي.
سيكتشف مطورو المجتمع الخارجي واجهات برمجة التطبيقات باستخدام مدخل المطور. سيقوم المطورون بالتسجيل وتسجيل الدخول إلى مدخل المطور باستخدام حسابات الوسائط الاجتماعية الخاصة بهم.
يمكن لمستخدمي مدخل المطور المهتمين الذين لديهم مفتاح اشتراك اختبار استكشاف وظيفة واجهة برمجة التطبيقات في سياق اختبار، دون الحاجة إلى شراء ترخيص. ستمثل وحدة تحكم اختبار مدخل المطور تطبيق الاستدعاء وتنشئ رمز وصول افتراضيًا إلى واجهة برمجة التطبيقات الخلفية.
تنبيه
مطلوب مزيد من الرعاية عند استخدام تدفق بيانات اعتماد العميل مع وحدة تحكم اختبار مدخل المطور. راجع اعتبارات الأمان.
التكوينات الرئيسية:
| التكوين | المرجع |
|---|---|
| إعداد المنتجات في Azure APIM لتمثيل مجموعات واجهات برمجة التطبيقات التي يتم عرضها لمطوري المجتمع. إعداد الاشتراكات لتمكين المطورين من استهلاك واجهات برمجة التطبيقات. |
البرنامج التعليمي: إنشاء منتج ونشره Subscriptions in Azure API Management |
| تكوين وصول مطور المجتمع إلى مدخل المطور باستخدام Azure AD B2C. يمكن بعد ذلك تكوين Azure AD B2C للعمل مع موفر واحد أو أكثر من موفري هوية وسائل التواصل الاجتماعي المتلقية للمعلومات. | كيفية تخويل حسابات المطورين باستخدام Azure Active Directory B2C في Azure API Management |
| قم بإعداد وحدة تحكم الاختبار في مدخل المطور للحصول على رمز OAuth 2.0 صالح إلى واجهة برمجة التطبيقات الخلفية باستخدام تدفق بيانات اعتماد العميل. |
كيفية تخويل وحدة تحكم الاختبار لمدخل المطور عن طريق تكوين تخويل مستخدم OAuth 2.0 اضبط خطوات التكوين الموضحة في هذه المقالة لاستخدام تدفق منح بيانات اعتماد العميل بدلا من تدفق منح رمز التخويل. |
انتقل إلى أبعد من ذلك عن طريق تفويض تسجيل المستخدم أو اشتراك المنتج وتوسيع العملية بمنطقك الخاص.
المحتوى ذو الصلة
- تعرف على المزيد عن المصادقة والتخويل في النظام الأساسي للهويات في Microsoft.
- تعرف على كيفية تخفيف تهديدات أمان OWASP API باستخدام APIM.