Microsoft Entra ID 2-legged OAuth 2.0 API Sicherheitsprofil im Jitterbit API-Manager
Einführung
Wichtig
Azure Active Directory (Azure AD) heißt jetzt Microsoft Entra ID.
Auf dieser Seite finden Sie die Voraussetzungen für die Verwendung von Microsoft Entra ID 2-legged OAuth 2.0 mit einer benutzerdefinierten Jitterbit-, OData oder Proxy-API. (Informationen zu 3-legged OAuth finden Sie unter Microsoft Entra ID 3-legged OAuth 2.0 API Sicherheitsprofil.)
Innerhalb eines Sicherheitsprofils können Sie Microsoft Entra ID (** Azure AD**) als OAuth 2.0-Identitätsanbieter konfigurieren, um API Verbrauchern Zugriff auf eine API mithilfe der Microsoft Entra ID Authentifizierung zu gewähren.
Weitere Informationen finden Sie unter Konfigurieren einer OpenID Connect OAuth-Anwendung aus der Microsoft Entra-App-Galerie von Microsoft Dokumentation.
Veraltete Unterstützung für Azure AD Graph
Der Azure AD Graph ist veraltet und wird vollständig außer Dienst gestellt am 30. Juni 2025. Wenn Sie Ihre App-Registrierung zuvor mit Azure AD Graph konfiguriert haben, müssen Sie migrieren die App-Registrierung bei Microsoft Graph vor dem 1. Februar 2025. App-Registrierungen, die nicht bis zum 1. Februar 2025 migriert wurden, erhalten beim Stellen von Anfragen eine Fehlermeldung.
Nachdem die App-Registrierung zu Microsoft Graph migriert wurde, müssen Sie das App-Manifest aktualisieren (wie in Schritt 12 unter API Berechtigungen für Harmony erteilen beschrieben).
Voraussetzungen
Zum Einrichten und Verwenden von Microsoft Entra ID als Identitätsanbieter ist die Microsoft Entra ID P1-Edition erforderlich.
1. Konfigurieren Sie Microsoft Entra ID als Identitätsanbieter
Führen Sie die folgenden Schritte aus, um eine OAuth 2.0-Anwendung im Microsoft Azure-Portal zu konfigurieren und die Client-ID, den geheimen Clientschlüssel und die Verzeichnis-ID abzurufen, die zum Konfigurieren von Microsoft Entra ID als Identitätsanbieter für ein Sicherheitsprofil erforderlich sind:
-
Melden Sie sich beim Microsoft Azure Portal an.
-
Gehen Sie im Microsoft Azure-Portal zu App-Registrierungen und klicken Sie auf Neue Registrierung:
-
Geben Sie auf dem Bildschirm Anwendung registrieren die ersten Details der Anwendung an:
- Geben Sie einen Namen ein. Zum Beispiel Jitterbit API-Manager APIs.
- Wählen Sie unter Unterstützte Kontotypen die für Ihre Situation passende Option aus.
-
Nachdem Sie auf Registrieren geklickt haben, werden auf dem Übersichtsbildschirm für die neue Anwendung die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) angezeigt. Bewahren Sie diese für die spätere Verwendung auf, da sie beim Konfigurieren des Sicherheitsprofils im API-Manager erforderlich sind:
-
Wählen Sie links unter der Kategorie Verwalten Zertifikate und Geheimnisse aus. Klicken Sie dann unter Clientgeheimnisse auf Neues Clientgeheimnis:
-
Geben Sie eine Beschreibung ein und legen Sie fest, dass das Geheimnis nie abläuft. Klicken Sie dann auf Hinzufügen:
-
Verwenden Sie das Symbol In die Zwischenablage kopieren, um das neue Client-Geheimnis zu kopieren. Bewahren Sie es zur späteren Verwendung auf, da es beim Konfigurieren des Sicherheitsprofils im API-Manager benötigt wird.
2. Erteilen Sie Harmony API Berechtigungen
Befolgen Sie diese Schritte, um Harmony die Berechtigung zur Verwendung der Microsoft Entra ID APIs mit der OAuth 2.0-Anwendung zu erteilen, die Sie im Abschnitt Microsoft Entra ID als Identitätsanbieter konfigurieren erstellt haben. Wenn Sie mit dem vorherigen Abschnitt fortfahren, können Sie unten bei Schritt 3 beginnen.
-
Melden Sie sich beim Microsoft Azure Portal an.
-
Gehen Sie im Microsoft Azure-Portal zu App-Registrierungen und wählen Sie die OAuth 2.0-Anwendung aus, die Sie im Abschnitt Microsoft Entra ID als Identitätsanbieter konfigurieren erstellt haben (im Beispiel Jitterbit API-Manager APIs genannt).
-
Wählen Sie unter der Kategorie Verwalten auf der linken Seite API Berechtigungen aus. Klicken Sie dann unter Konfigurierte Berechtigungen auf Berechtigung hinzufügen:
-
Wählen Sie auf dem Bildschirm API Berechtigungen anfordern unter der Tab Microsoft APIs die Microsoft Graph- API aus:
-
Wählen Sie auf dem Bildschirm API Berechtigungen anfordern die Option Delegierte Berechtigungen aus:
-
Der Abschnitt Berechtigungen auswählen wird nun angezeigt. Wählen Sie darin diese Berechtigungen aus:
-
Wählen Sie unter OpenId-Berechtigungen Offlinezugriff, OpenID und Profil aus:
-
Wählen Sie unter Benutzer User.Read aus:
-
-
Nachdem diese Berechtigungen ausgewählt wurden, klicken Sie unten im Bildschirm API Berechtigungen anfordern auf Berechtigungen hinzufügen.
-
Sie werden zum Bildschirm API Berechtigungen für die Anwendung zurückgeleitet. Klicken Sie unter Konfigurierte Berechtigungen auf Administratorzustimmung erteilen für \<Verzeichnis>:
-
Bestätigen Sie den Dialog, um die Zustimmung für das Verzeichnis zu erteilen:
-
Unter Konfigurierte Berechtigungen sollte die Spalte Status nun anzeigen, dass für jede hinzugefügte Berechtigung die Zustimmung erteilt wurde:
-
Befolgen Sie diese zusätzlichen Schritte, um einen benutzerdefinierten Bereich zu erstellen:
- Navigieren Sie zu API verfügbar machen und klicken Sie auf Bereich hinzufügen.
-
Geben Sie im Dialogfeld Bereich hinzufügen einen Bereichsnamen, einen Anzeigenamen für die Administratorzustimmung, eine Beschreibung der Administratorzustimmung ein und füllen Sie die optionalen Felder nach Wunsch aus. Klicken Sie auf Bereich hinzufügen:
-
Wählen Sie unter der Kategorie Verwalten auf der linken Seite Manifest aus. Stellen Sie sicher, dass
requestedAccessTokenVersionist eingestellt auf2und klicken Sie auf Speichern:
Hinweis
Ihr Authentifizierungstoken wird nicht validiert, wenn
requestedAccessTokenVersionist nicht eingestellt auf2.
3. Konfigurieren Sie ein Sicherheitsprofil im API-Manager
Folgen Sie den Anweisungen zum Konfigurieren eines Sicherheitsprofils in Sicherheitsprofilkonfiguration.
Notiz
Der Profilname darf keine Leerzeichen enthalten. Wenn der Profilname Leerzeichen enthält, erhalten Sie eine Fehlermeldung, wenn Sie versuchen, mit diesem Sicherheitsprofil auf eine API zuzugreifen. Microsoft Entra ID gibt eine Fehlermeldung ähnlich dieser zurück:
The reply URL specified in the request does not match the reply URLs configured for the application.
Wählen Sie während der Konfiguration OAuth 2.0 als Authentifizierungs-Typ und Azure AD als OAuth-Anbieter aus:
Geben Sie den Umfang in das Feld OAuth-Umfang ein. Der Umfangsname lautet <client_id>/.default. Die Client-ID wurde oben in Schritt 1 abgerufen.
Das Feld Autorisierte Domänen muss leer sein:
Geben Sie optional die OAuth-Client-ID und das OAuth-Client-Geheimnis (zu Testzwecken) ein, die Sie oben in Schritt 1 erhalten haben:
Geben Sie die Zielgruppe ein. Dabei handelt es sich um die Anwendungs-ID (Client-ID) Ihrer App, die Ihrer App im Azure-Portal zugewiesen wurde, wie oben in Schritt 1 beschrieben.
Bearbeiten Sie die OpenID-Erkennungs URL, die OAuth-Autorisierungs URL, die OAuth-Token URL und die Benutzerinfo URL, um die Platzhalter-Verzeichnis-ID (yourDirectoryID) mit der oben in Schritt 1 erhaltenen Verzeichnis-ID.
Sobald die obigen Felder ausgefüllt sind, klicken Sie auf Test, um das Authentifizierungstoken zu validieren.
4. Zuweisen eines Sicherheitsprofils im API-Manager
Um das Sicherheitsprofil mit einer API zu verwenden, folgen Sie den Anweisungen zum Konfigurieren einer benutzerdefinierten API, OData Dienst oder Proxy-API und wählen Sie das mit der Microsoft Entra ID OAuth 2.0-Authentifizierung konfigurierte Sicherheitsprofil aus.
5. Zugriff auf eine API mit Microsoft Entra ID Authentifizierung
Nachdem Sie eine benutzerdefinierte API gespeichert und veröffentlicht haben, OData Dienst oder Proxy-API, ist die API per URL in der Anwendung zugänglich, die die API unter Verwendung der konfigurierten Authentifizierungsmethode aufruft.
Die Verwendung von 2-legged OAuth 2.0 ist ein zweistufiger Prozess:
- Generieren Sie ein OAuth-Token, indem Sie entweder die Azure-Client-ID und das Client-Geheimnis übergeben, die Sie oben in Schritt 1 erhalten haben in einem RFC6749 Client Credentials Access Token Request zum neuen 2-legged OAuth Token URL-Link, der in den Sicherheitsprofilen angezeigt wird-Seite oder indem Sie das OAuth-Token direkt von Microsoft Entra ID beziehen.
- Senden Sie das OAuth-Token im API Header unter Verwendung des in RFC6750 definierten Tokentyps „Bearer“.
Um die API zu nutzen, verwenden Sie den Link zum Kopieren der URL und verwenden Sie ihn in der aufrufenden Anwendung:
Wenn die API GET unterstützt, können Sie die URL auch in einen Webbrowser einfügen, um die API manuell zu nutzen.
Wenn 2-legged OAuth Flow verwendet wird, ruft das API Gateway das Zugriffstoken ab und die Authentifizierung erfolgt automatisch.
Wenn die Authentifizierung erfolgreich ist, wird die erwartete Payload im Webbrowser angezeigt.