Microsoft Entra ID 3-legged OAuth 2.0 API Sicherheitsprofil im Jitterbit API-Manager

Einführung

Auf dieser Seite finden Sie die Voraussetzungen für die Verwendung von Microsoft Entra ID 3-legged OAuth 2.0 mit einer benutzerdefinierten Jitterbit-, OData oder Proxy-API. (Informationen zu 2-legged OAuth finden Sie unter Microsoft Entra ID 2-legged OAuth 2.0 API Sicherheitsprofil.)

Innerhalb eines Sicherheitsprofils können Sie Microsoft Entra ID (** Azure AD**) als OAuth 2.0-Identitätsanbieter konfigurieren, um API Verbrauchern Zugriff auf eine API mithilfe der Microsoft Entra ID Authentifizierung zu gewähren.

Weitere Informationen finden Sie unter Konfigurieren einer OpenID Connect OAuth-Anwendung aus der Microsoft Entra-App-Galerie von Microsoft Dokumentation.

Veraltete Unterstützung für Azure AD Graph

Der Azure AD Graph ist veraltet und wird vollständig außer Dienst gestellt am 30. Juni 2025. Wenn Sie Ihre App-Registrierung zuvor mit Azure AD Graph konfiguriert haben, müssen Sie migrieren die App-Registrierung bei Microsoft Graph vor dem 1. Februar 2025. App-Registrierungen, die nicht bis zum 1. Februar 2025 migriert wurden, erhalten bei Anfragen eine Fehlermeldung.

Voraussetzungen

Zum Einrichten und Verwenden von Azure AD als Identitätsanbieter ist die Microsoft Entra ID P1-Edition erforderlich.

1. Konfigurieren Sie Microsoft Entra ID als Identitätsanbieter

Führen Sie die folgenden Schritte aus, um eine OAuth 2.0-Anwendung im Microsoft Azure-Portal zu konfigurieren und die Client-ID, den geheimen Clientschlüssel und die Verzeichnis-ID abzurufen, die zum Konfigurieren von Microsoft Entra ID als Identitätsanbieter für ein Sicherheitsprofil erforderlich sind:

1. Melden Sie sich beim Microsoft Azure Portal an.

2. Gehen Sie im Microsoft Azure-Portal zu App-Registrierungen und klicken Sie auf Neue Registrierung:

   

3. Geben Sie auf dem Bildschirm Anwendung registrieren die ersten Details der Anwendung an:

   

   1. Geben Sie einen Namen ein. Zum Beispiel Jitterbit API-Manager APIs.
   2. Wählen Sie unter Unterstützte Kontotypen die für Ihre Situation passende Option aus.
   3. Wählen Sie unter Umleitungs-URI (optional) im Dropdown-Menü Web aus und geben Sie den swagger-ui Für Ihre Region geeigneter URI-Wert (siehe Meine Region suchen):
      • NA: https://apps.na-east.jitterbit.com/api-manager/swagger-ui/oauthredirect
      • EMEA: https://apps.emea-west.jitterbit.com/api-manager/swagger-ui/oauthredirect
      • Asien-Pazifik: https://apps.apac-southeast.jitterbit.com/api-manager/swagger-ui/oauthredirect

4. Nachdem Sie auf Registrieren geklickt haben, werden auf dem Übersichtsbildschirm für die neue Anwendung die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) angezeigt. Bewahren Sie diese für die spätere Verwendung auf, da sie beim Konfigurieren des Sicherheitsprofils im API-Manager erforderlich sind:

   

5. Klicken Sie auf dem Übersichtsbildschirm auf den Link unter Umleitungs-URIs:

   

6. Der Authentifizierungsbildschirm für die Anwendung wird angezeigt. Befolgen Sie diese Schritte, um zwei zusätzliche Umleitungs-URI-Werte hinzuzufügen, die für Ihre Harmony-Organisation und Region geeignet sind:

   1. Um die zusätzlichen URI-Werte abzurufen, öffnen Sie im API-Manager den Sicherheitsprofil-Konfigurationsbildschirm und kopieren Sie diese Werte (das Bild unten ist zugeschnitten, um die relevanten Bereiche anzuzeigen):

      

   2. Klicken Sie auf dem Authentifizierungs-Bildschirm für die Anwendung im Microsoft Azure-Portal im Abschnitt Web auf URI hinzufügen und geben Sie jeden zusätzlichen oben erhaltenen URI-Wert ein. Klicken Sie dann auf Speichern:

      

7. Wählen Sie unter der Kategorie Verwalten auf der linken Seite Zertifikate und Geheimnisse aus. Klicken Sie dann unter Clientgeheimnisse auf Neues Clientgeheimnis:

   

8. Geben Sie eine Beschreibung ein und legen Sie fest, dass das Geheimnis nie abläuft. Klicken Sie dann auf Hinzufügen:

   

9. Verwenden Sie das Symbol In die Zwischenablage kopieren, um das neue Client-Geheimnis zu kopieren. Bewahren Sie es zur späteren Verwendung auf, da es beim Konfigurieren des Sicherheitsprofils im API-Manager benötigt wird.

   

2. Erteilen Sie Harmony API Berechtigungen

Befolgen Sie diese Schritte, um Harmony die Berechtigung zur Verwendung der Microsoft Entra ID APIs mit der OAuth 2.0-Anwendung zu erteilen, die Sie im Abschnitt Microsoft Entra ID als Identitätsanbieter konfigurieren erstellt haben. Wenn Sie mit dem vorherigen Abschnitt fortfahren, können Sie unten bei Schritt 3 beginnen.

1. Melden Sie sich beim Microsoft Azure Portal an.

2. Gehen Sie im Microsoft Azure-Portal zu App-Registrierungen und wählen Sie die OAuth 2.0-Anwendung aus, die Sie im Abschnitt Microsoft Entra ID als Identitätsanbieter konfigurieren erstellt haben.

3. Wählen Sie unter der Kategorie Verwalten auf der linken Seite API Berechtigungen aus. Klicken Sie dann unter Konfigurierte Berechtigungen auf Berechtigung hinzufügen:

   

4. Wählen Sie auf dem Bildschirm API Berechtigungen anfordern unter der Tab Microsoft APIs die Microsoft Graph- API aus:

   

5. Wählen Sie auf dem Bildschirm API Berechtigungen anfordern die Option Delegierte Berechtigungen aus:

   

6. Der Abschnitt Berechtigungen auswählen wird nun angezeigt. Wählen Sie darin diese Berechtigungen aus:

   • Wählen Sie unter OpenId-Berechtigungen Offlinezugriff, OpenID und Profil aus:

     

   • Wählen Sie unter Benutzer User.Read aus:

     

7. Nachdem diese Berechtigungen ausgewählt wurden, klicken Sie unten im Bildschirm API Berechtigungen anfordern auf Berechtigungen hinzufügen.

8. Sie werden zum Bildschirm API Berechtigungen für die Anwendung zurückgeleitet. Klicken Sie unter Konfigurierte Berechtigungen auf Administratorzustimmung erteilen für \<Verzeichnis>:

   

9. Bestätigen Sie den Dialog, um die Zustimmung für das Verzeichnis zu erteilen:

   

10. Unter Konfigurierte Berechtigungen sollte die Spalte Status nun anzeigen, dass für jede hinzugefügte Berechtigung die Zustimmung erteilt wurde:

    

3. Konfigurieren Sie ein Sicherheitsprofil im API-Manager

Folgen Sie den Anweisungen zum Konfigurieren eines Sicherheitsprofils in Sicherheitsprofilkonfiguration.

Wählen Sie während der Konfiguration OAuth 2.0 als Authentifizierungs-Typ und Azure AD als OAuth-Anbieter aus:

Geben Sie die OAuth-Client-ID und das OAuth-Client-Geheimnis ein, die Sie unter Microsoft Entra ID als Identitätsanbieter konfigurieren erhalten haben.

Bearbeiten Sie die OpenID-Erkennungs URL, die OAuth-Autorisierungs URL, die OAuth-Token URL und die Benutzerinfo URL, um die Platzhalter-Verzeichnis-ID (yourDirectoryID) mit der Verzeichnis-ID, die Sie im Abschnitt Übersicht Ihrer App im Microsoft Azure-Portal erhalten haben.

Klicken Sie auf Client-ID + Geheimnis testen, um die Konnektivität mit dem Identitätsanbieter anhand der Konfiguration zu überprüfen.

4. Zuweisen eines Sicherheitsprofils im API-Manager

Um das Sicherheitsprofil mit einer API zu verwenden, folgen Sie den Anweisungen zum Konfigurieren einer benutzerdefinierten API, OData Dienst oder Proxy-API und wählen Sie das mit der Microsoft Entra ID OAuth 2.0-Authentifizierung konfigurierte Sicherheitsprofil aus.

5. Zugriff auf eine API mit Microsoft Entra ID Authentifizierung

Nachdem Sie eine benutzerdefinierte API gespeichert und veröffentlicht haben, OData Dienst oder Proxy-API, ist die API per URL in der Anwendung zugänglich, die die API unter Verwendung der konfigurierten Authentifizierungsmethode aufruft.

Um die API zu nutzen, verwenden Sie den Link zum Kopieren der URL und verwenden Sie ihn in der aufrufenden Anwendung:

Wenn die API GET unterstützt, können Sie die URL auch in einen Webbrowser einfügen, um die API manuell zu nutzen.

Wenn 3-legged OAuth 2.0 verwendet wird, leitet der Browser zur nativen Anmeldeoberfläche für Microsoft Entra ID weiter. Geben Sie Ihre Anmeldeinformationen ein, um sich mit Microsoft Entra ID zu authentifizieren.

Wenn die Authentifizierung erfolgreich ist, wird die erwartete Payload im Webbrowser angezeigt.