Perfil de seguridad de la API OAuth 2.0 de dos vías de Microsoft Entra ID en Jitterbit API Manager

Introducción

Esta página proporciona los requisitos previos para usar Microsoft Entra ID OAuth 2.0 de dos patas con una API de Jitterbit personalizada, OData o proxy. (Para OAuth de tres patas, consulte Perfil de seguridad de la API de Microsoft Entra ID OAuth 2.0 de tres patas.)

Dentro de un perfil de seguridad, puede configurar Microsoft Entra ID (** Azure AD**) como un proveedor de identidad OAuth 2.0 para proporcionar a los consumidores de API acceso a una API mediante la autenticación de Microsoft Entra ID.

Para obtener información adicional, consulte Configurar una aplicación OpenID Connect OAuth desde la galería de aplicaciones Microsoft Entra documentación.

Desuso de Azure AD Graph

El gráfico de Azure AD está obsoleto y se retirará por completo el 30 de junio de 2025. Si anteriormente configuró el registro de su aplicación con Azure AD Graph, debe migrar el registro de la aplicación en Microsoft Graph antes del 1 de febrero de 2025. Los registros de aplicaciones que no se hayan migrado antes del 1 de febrero de 2025 recibirán un error al realizar solicitudes.

Una vez que se haya migrado el registro de la aplicación a Microsoft Graph, debe actualizar el manifiesto de la aplicación (como se describe en el paso 12 en Otorgar permisos de API a Harmony).

Prerrequisitos

Se requiere la edición P1 de Microsoft Entra ID para configurar y utilizar Microsoft Entra ID como proveedor de identidad.

1. Configurar Microsoft Entra ID como proveedor de identidad

Siga estos pasos para configurar una aplicación OAuth 2.0 en el portal de Microsoft Azure y obtener el ID de cliente, el secreto de cliente y el ID de directorio necesarios para configurar Microsoft Entra ID como proveedor de identidad para un perfil de seguridad:

1. Inicie sesión en el portal de Microsoft Azure.

2. En el portal de Microsoft Azure, vaya a Registros de aplicaciones y haga clic en Nuevo registro:

   

3. En la pantalla Registrar una aplicación, especifique los detalles iniciales de la aplicación:

   

   • Ingrese un Nombre. Por ejemplo, API de Jitterbit API Manager.
   • En Tipos de cuentas compatibles, seleccione la opción adecuada para su situación.

4. Después de hacer clic en Registrar, en la pantalla Descripción general de la nueva aplicación, se muestran el ID de aplicación (cliente) y el ID de directorio (inquilino). Consérvelos para usarlos más adelante, ya que serán necesarios al configurar el perfil de seguridad en API Manager:

   

5. En la categoría Administrar a la izquierda, seleccione Certificados y secretos. Luego, en Secretos de cliente, haga clic en Nuevo secreto de cliente:

   

6. Proporcione una Descripción y configure el secreto para que Nunca caduque. Luego haga clic en Agregar:

   

7. Utilice el icono Copiar al portapapeles para copiar el nuevo secreto de cliente. Consérvelo para usarlo más adelante, ya que será necesario al configurar el perfil de seguridad en API Manager.

   

2. Otorgar permisos de API a Harmony

Siga estos pasos para otorgar permisos a Harmony para usar las APIs de Microsoft Entra ID con la aplicación OAuth 2.0 que creó en la sección Configurar Microsoft Entra ID como proveedor de identidad. Si continúa desde la sección anterior, puede comenzar en el paso 3 a continuación.

1. Inicie sesión en el portal de Microsoft Azure.

2. En el portal de Microsoft Azure, vaya a Registros de aplicaciones y seleccione la aplicación OAuth 2.0 que creó en la sección Configurar Microsoft Entra ID como proveedor de identidad (en el ejemplo, llamadas API de Jitterbit API Manager).

3. En la categoría Administrar a la izquierda, seleccione Permisos de API. Luego, en Permisos configurados, haga clic en Agregar un permiso:

   

4. En la pantalla Solicitar permisos de API, en la pestaña APIs de Microsoft, seleccione la API Microsoft Graph:

   

5. En la pantalla Solicitar permisos de API, seleccione Permisos delegados:

   

6. Ahora se muestra la sección Seleccionar permisos. En ella, seleccione estos permisos:

   • En Permisos OpenId, seleccione offline_access, openid y profile:

     

   • En Usuario, seleccione Usuario.Lectura:

     

7. Una vez seleccionados estos permisos, en la parte inferior de la pantalla Solicitar permisos de API, haga clic en Agregar permisos.

8. Volverá a la pantalla Permisos de API de la aplicación. En Permisos configurados, haga clic en Otorgar consentimiento de administrador para \<Directory>:

   

9. Confirme el diálogo para otorgar el consentimiento para el directorio:

   

10. En Permisos configurados, la columna Estado ahora debería mostrar que se ha otorgado el consentimiento para cada permiso agregado:

    

11. Siga estos pasos adicionales para crear un ámbito personalizado:

    1. Navegue hasta Exponer una API y haga clic en Agregar un alcance.

    2. En el cuadro de diálogo Agregar un ámbito, ingrese un nombre de Ámbito, Nombre para mostrar del consentimiento del administrador, Descripción del consentimiento del administrador y complete los campos opcionales según lo desee. Haga clic en Agregar ámbito:

       

12. En la categoría Administrar a la izquierda, seleccione Manifiesto. Asegúrese de que requestedAccessTokenVersion está configurado para 2 y haga clic en Guardar:

    

    Nota

    Su token de autenticación no se validará si requestedAccessTokenVersion No está configurado para 2.

3. Configurar un perfil de seguridad en API Manager

Siga las instrucciones para Configurar un perfil de seguridad en Configuración del perfil de seguridad.

Durante la configuración, seleccione OAuth 2.0 como Tipo de autenticación y Azure AD como Proveedor de OAuth:

Ingrese el alcance en el campo Ámbito de OAuth. El nombre del alcance es <client_id>/.default El ID del cliente se obtuvo anteriormente en el paso 1.

El campo Dominios autorizados debe estar vacío:

De manera opcional, ingrese el ID de cliente de OAuth y el secreto de cliente de OAuth (para fines de prueba) obtenidos anteriormente en el paso 1:

Ingrese la audiencia, que es el ID de aplicación (ID de cliente) de su aplicación, asignado a su aplicación en el portal de Azure como se describe arriba en el paso 1.

Edite la URL de descubrimiento de OpenID, la URL de autorización de OAuth, la URL del token de OAuth y la URL de información del usuario para reemplazar el ID del directorio de marcador de posición (yourDirectoryID) con el ID de directorio obtenido anteriormente en el paso 1.

Una vez que se hayan completado los campos anteriores, haga clic en Probar para validar el token de autenticación.

4. Asignar un perfil de seguridad en API Manager

Para utilizar el perfil de seguridad con una API, siga las instrucciones para configurar una API personalizada, servicio OData, o API proxy y seleccione el perfil de seguridad configurado con la autenticación Microsoft Entra ID OAuth 2.0.

5. Acceda a una API con autenticación de Microsoft Entra ID

Una vez que haya guardado y publicado una API personalizada, Servicio OData, o API proxy, su API es accesible mediante URL en la aplicación que llama a la API utilizando el método de autenticación configurado.

El uso de OAuth 2.0 de dos patas es un proceso de dos pasos:

1. Genere un token OAuth pasando el ID de cliente de Azure y el secreto de cliente obtenidos anteriormente en el paso 1 en una Solicitud de token de acceso a credenciales de cliente RFC6749 al nuevo enlace URL del token OAuth de dos patas que se muestra en Perfiles de seguridad o obteniendo el token OAuth directamente de Microsoft Entra ID.
2. Envíe el token OAuth en el encabezado de la API utilizando el tipo de token "bearer" definido en RFC6750.

Para consumir la API, use el enlace Copiar URL y úselo dentro de la aplicación que realiza la llamada:

Si la API admite GET, también puedes pegar la URL en un navegador web para consumir la API manualmente.

Cuando se utiliza Flujo OAuth de 2 vías, la puerta de enlace API obtiene el token de acceso y la autenticación se realiza automáticamente.

Si la autenticación es exitosa, la carga útil esperada se muestra en el navegador web.