Biztonságos hozzáférés az API Management fejlesztői portáljához
A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Alapszintű | Alapszintű v2 | Standard | Standard v2 | Prémium | Prémium v2
Az API Management egy teljesen testre szabható, önálló, felügyelt fejlesztői portállal rendelkezik, amely külsőleg (vagy belsőleg) is használható annak érdekében, hogy a fejlesztői felhasználók felfedezhessék és interakcióba léphessenek az API Managementen keresztül közzétett API-kkal. A fejlesztői portál számos lehetőséget kínál a biztonságos felhasználói regisztráció és bejelentkezés megkönnyítésére.
Feljegyzés
A fejlesztői portál alapértelmezés szerint engedélyezi a névtelen hozzáférést. Ez azt jelenti, hogy bárki bejelentkezés nélkül megtekintheti a portált és az olyan tartalmakat, mint az API-k, bár az olyan funkciók, mint a tesztkonzol használata, korlátozottak. Engedélyezheti azt a beállítást, amely megköveteli, hogy a felhasználók bejelentkezhessenek a fejlesztői portál megtekintéséhez. Az Azure Portalon, az API Management-példány bal oldali menüjében, a Fejlesztői portál alatt válassza az Identitások>beállításai lehetőséget. A Névtelen felhasználók csoportban válassza a Névtelen felhasználók átirányítása a bejelentkezési lapra (engedélyezés) lehetőséget.
Hitelesítési lehetőségek
Külső felhasználók – A fejlesztői portál külső használata esetén az előnyben részesített beállítás az, ha engedélyezi az üzleti felhasználók számára a hozzáférés-vezérlést az Azure Active Directory B2C-n (Azure AD B2C) keresztül.
- Az Azure AD B2C lehetővé teszi natív Azure AD B2C-fiókok használatát: a felhasználók regisztrálnak az Azure AD B2C-be, és ezzel az identitással férnek hozzá a fejlesztői portálhoz.
- Az Azure AD B2C akkor is hasznos, ha azt szeretné, hogy a felhasználók a meglévő közösségi média vagy összevont szervezeti fiókok használatával férhessenek hozzá a fejlesztői portálhoz.
- Az Azure AD B2C számos funkciót kínál a végfelhasználói regisztráció és a bejelentkezési élmény javítása érdekében, beleértve a feltételes hozzáférést és az MFA-t.
Az Azure AD B2C-hitelesítés fejlesztői portálon való engedélyezésének lépéseit az Azure Active Directory B2C azure API Managementben történő engedélyezésével foglalkozó cikkben találja.
Belső felhasználók – A fejlesztői portál belső használata esetén előnyben részesített lehetőség a vállalati Microsoft Entra-azonosító használata. A Microsoft Entra ID zökkenőmentes egyszeri bejelentkezést (SSO) biztosít azoknak a vállalati felhasználóknak, akiknek api-kat kell elérnie és felderítenie a fejlesztői portálon keresztül.
A Microsoft Entra-hitelesítés fejlesztői portálon való engedélyezésének lépéseit a fejlesztői fiókok Microsoft Entra-azonosítóval történő engedélyezésével az Azure API Managementben című témakörben találja.
Alapszintű hitelesítés – Az alapértelmezett beállítás a beépített fejlesztői portál felhasználónév- és jelszószolgáltatójának használata, amely lehetővé teszi a fejlesztők számára, hogy közvetlenül regisztráljanak az API Managementben, és API Management felhasználói fiókok használatával jelentkezzenek be. Az ezen a beállításon keresztül regisztrált felhasználót egy CAPTCHA-szolgáltatás védi.
Figyelemfelhívás
Bár alapszintű hitelesítéssel biztosíthatja a felhasználók hozzáférését a fejlesztői portálhoz, javasoljuk, hogy konfiguráljon egy biztonságosabb hitelesítési módszert, például a Microsoft Entra ID-t vagy az Azure AD B2C-t.
Fejlesztői portál tesztkonzolja
Amellett, hogy konfigurációt biztosít a fejlesztői felhasználóknak a hozzáférésre való regisztrációhoz és a bejelentkezéshez, a fejlesztői portál egy tesztkonzolt is tartalmaz, ahol a fejlesztők az API Managementen keresztül küldhetnek tesztkéréseket a háttér api-knak. Ez a tesztkörnyezet az API Management azon közreműködő felhasználói számára is létezik, akik az Azure Portal használatával kezelik a szolgáltatást.
Ha az Azure API Managementen keresztül közzétett API-t az OAuth 2.0 védi – vagyis egy hívó alkalmazásnak (tulajdonosnak) érvényes hozzáférési jogkivonatot kell beszereznie és átadnia – konfigurálhatja az API Managementet úgy, hogy érvényes jogkivonatot hozzon létre az Azure Portal vagy a fejlesztői portál tesztkonzol-felhasználója nevében. További információ: Hogyan engedélyezheti a fejlesztői portál tesztkonzolját az OAuth 2.0 felhasználói engedélyezésének konfigurálásával.
Ha engedélyezni szeretné, hogy a tesztkonzol érvényes OAuth 2.0-jogkivonatot szerezzen be az API-teszteléshez:
Adjon hozzá egy OAuth 2.0 felhasználói engedélyezési kiszolgálót a példányhoz. Bármilyen OAuth 2.0-szolgáltatót használhat, beleértve a Microsoft Entra ID-t, az Azure AD B2C-t vagy egy külső identitásszolgáltatót.
Ezután konfigurálja az API-t az engedélyezési kiszolgáló beállításaival. A portálon konfigurálja az OAuth 2.0-s hitelesítést az API Beállítások lapján>, biztonsági> felhasználó engedélyezése.
Az API-teszteléshez használt OAuth 2.0-konfiguráció független a fejlesztői portálhoz való felhasználói hozzáféréshez szükséges konfigurációtól. Az identitásszolgáltató és a felhasználó azonban ugyanaz lehet. Egy intranetes alkalmazás például megkövetelheti a felhasználói hozzáférést a fejlesztői portálhoz az egyszeri bejelentkezéssel és a vállalati identitással. Ugyanez a vállalati identitás beszerezhet egy jogkivonatot a tesztkonzolon keresztül, hogy a háttérszolgáltatást ugyanazzal a felhasználói környezettel hívja meg.
Forgatókönyvek
A különböző hitelesítési és engedélyezési lehetőségek különböző forgatókönyvekre vonatkoznak. Az alábbi szakaszok három példaforgatókönyv magas szintű konfigurációit ismertetik. További lépések szükségesek az API Management által közzétett API-k teljes körű védelméhez és konfigurálásához. A forgatókönyvek azonban szándékosan az egyes esetekben javasolt minimális konfigurációkra összpontosítanak a szükséges hitelesítés és engedélyezés biztosításához.
1. forgatókönyv – Intranetes API és alkalmazások
- Az API Management egyik közreműködője és háttér API-fejlesztője közzé szeretne tenni egy, az OAuth 2.0 által védett API-t.
- Az API-t olyan asztali alkalmazások fogják használni, amelyek felhasználói egyszeri bejelentkezéssel jelentkeznek be a Microsoft Entra-azonosítón keresztül.
- Az asztali alkalmazásfejlesztőknek az API Management fejlesztői portálon keresztül kell felderítenie és tesztelnie az API-kat.
Kulcskonfigurációk:
| Konfiguráció | Referencia |
|---|---|
| Engedélyezze az API Management fejlesztői portál fejlesztői felhasználóinak a vállalati identitások és a Microsoft Entra-azonosító használatával történő engedélyezését. | Fejlesztői fiókok engedélyezése a Microsoft Entra ID használatával az Azure API-kezelésben |
| Állítsa be a tesztkonzolt a fejlesztői portálon, hogy érvényes OAuth 2.0-jogkivonatot szerezzen be az asztali alkalmazás fejlesztőinek a háttér API használatára. Ugyanez a konfiguráció használható a tesztkonzolhoz az Azure Portalon, amely az API Management közreműködői és a háttérfejlesztők számára érhető el. A jogkivonat egy API Management-előfizetési kulccsal kombinálva használható. |
A fejlesztői portál tesztkonzoljának engedélyezése az OAuth 2.0 felhasználói engedélyezésének konfigurálásával Előfizetések az Azure API Managementben |
| Ellenőrizze az OAuth 2.0 jogkivonatot és jogcímeket, ha egy API-t az API Managementen keresztül hív meg hozzáférési jogkivonattal. | JWT-szabályzat ellenőrzése |
Ezzel a forgatókönyvvel egy lépéssel továbbhaladhat az API Management hálózati szegélyhálózatra való áthelyezésével és a bejövő forgalom fordított proxyn keresztüli szabályozásával. Referenciaarchitektúra : API-k védelme az Application Gateway és az API Management használatával.
2. forgatókönyv – Külső API, partneralkalmazás
- Az API Management közreműködője és háttér API-fejlesztője egy gyors megvalósíthatósági vizsgálatot szeretne végrehajtani egy örökölt API Azure API Managementen keresztüli felfedéséhez. Az API az API Managementen keresztül külsőleg (internetkapcsolattal) fog rendelkezni.
- Az API ügyféltanúsítvány-hitelesítést használ, és egy új, nyilvános elérésű, egyoldalas alkalmazás (SPA) fogja használni, amelyet egy partner fejlesztett ki.
- Az SPA az OAuth 2.0-t használja az OpenID Connect (OIDC) használatával.
- Az alkalmazásfejlesztők a fejlesztői portálon keresztül érhetik el az API-t egy tesztkörnyezetben, egy tesztháttérvégpont használatával felgyorsítva az előtérbeli fejlesztést.
Kulcskonfigurációk:
| Konfiguráció | Referencia |
|---|---|
| Konfigurálja az előtérbeli fejlesztői hozzáférést a fejlesztői portálhoz az alapértelmezett felhasználónév és jelszóhitelesítés használatával. A fejlesztők a fejlesztői portálra is meghívhatók. |
A fejlesztői portál felhasználóinak konfigurálása felhasználónevek és jelszavak használatával történő hitelesítéshez Felhasználói fiókok kezelése az Azure API Managementben |
| Ellenőrizze az OAuth 2.0 jogkivonatot és jogcímeket, amikor az SPA hozzáférési jogkivonattal hívja meg az API Managementet. Ebben az esetben a célközönség az API Management. | JWT-szabályzat ellenőrzése |
| Az API Management beállítása ügyféltanúsítvány-hitelesítés használatára a háttérrendszerben. | Háttérszolgáltatások védelme ügyféltanúsítvány-hitelesítéssel az Azure API Managementben |
Ezzel a forgatókönyvvel egy lépéssel továbbhaladhat a microsoft entrai engedélyezéssel és a Microsoft Entra B2B együttműködéssel rendelkező fejlesztői portál használatával, hogy a kézbesítési partnerek szorosabban együttműködhessenek. Fontolja meg az API Managementhez való hozzáférés RBAC-vel való delegálását fejlesztési vagy tesztelési környezetben, és engedélyezze az egyszeri bejelentkezést a fejlesztői portálon a saját vállalati hitelesítő adataik használatával.
3. forgatókönyv – Nyilvánosan megnyitott külső API, az SaaS
Az API Management egyik közreműködője és háttér API-fejlesztője számos új API-t ír, amelyek elérhetők lesznek a közösségi fejlesztők számára.
Az API-k nyilvánosan elérhetők lesznek, teljes funkcionalitással, egy fizetőfal mögött védve és az OAuth 2.0-val biztosítva. A licenc megvásárlása után a fejlesztő saját ügyfél-hitelesítő adataival és az éles használatra érvényes előfizetési kulccsal rendelkezik.
A külső közösségi fejlesztők a fejlesztői portálon fogják felderíteni az API-kat. A fejlesztők a közösségimédia-fiókjukkal regisztrálnak és bejelentkeznek a fejlesztői portálra.
A teszt-előfizetési kulccsal rendelkező érdeklődő fejlesztői portál felhasználói tesztkörnyezetben fedezhetik fel az API funkcióit anélkül, hogy licencet kellene vásárolniuk. A fejlesztői portál tesztkonzolja a hívó alkalmazást jelöli, és létrehoz egy alapértelmezett hozzáférési jogkivonatot a háttér API-hoz.
Figyelemfelhívás
A fejlesztői portál tesztkonzolján az ügyfél hitelesítő adatainak használata esetén fokozott óvatosságra van szükség. Tekintse meg a biztonsági szempontokat.
Kulcskonfigurációk:
| Konfiguráció | Referencia |
|---|---|
| Állítson be termékeket az Azure API Managementben a közösségi fejlesztők számára elérhető API-k kombinációinak megjelenítéséhez. Előfizetések beállítása, amelyek lehetővé teszik a fejlesztők számára az API-k használatát. |
Oktatóanyag: Termék létrehozása és közzététele Előfizetések az Azure API Managementben |
| Konfigurálja a fejlesztői portálhoz való közösségi fejlesztői hozzáférést az Azure AD B2C használatával. Az Azure AD B2C ezután konfigurálható úgy, hogy egy vagy több alsóbb rétegbeli közösségimédia-identitásszolgáltatóval működjön együtt. | Fejlesztői fiókok engedélyezése az Azure Active Directory B2C használatával az Azure API Managementben |
| Állítsa be a tesztkonzolt a fejlesztői portálon, hogy érvényes OAuth 2.0-jogkivonatot szerezzen be a háttér API-hoz az ügyfél hitelesítő adatainak folyamatával. |
A fejlesztői portál tesztkonzoljának engedélyezése az OAuth 2.0 felhasználói engedélyezésének konfigurálásával Módosítsa az ebben a cikkben látható konfigurációs lépéseket úgy, hogy az engedélyezési kód engedélyezési folyamata helyett az ügyfél hitelesítő adatait adja meg. |
Egy lépéssel továbbhaladhat a felhasználói regisztráció vagy a termék-előfizetés delegálásával, és kibővítheti a folyamatot a saját logikájával.
Kapcsolódó tartalom
- További információ a hitelesítésről és az engedélyezésről a Microsoft Identitásplatform.
- Ismerje meg, hogyan háríthatja el az OWASP API biztonsági fenyegetéseit az API Management használatával.