Perfil de seguridad de API OAuth 2.0 de Microsoft Entra ID de 2 piernas en Jitterbit API Manager
Introducción
Importante
Microsoft Entra ID era conocido anteriormente como Microsoft Azure AD.
Esta página explica cómo usar Microsoft Entra ID OAuth 2.0 de 2 piernas con una API personalizada de Jitterbit, API OData o API proxy. Para OAuth de 3 piernas, consulte Perfil de seguridad de API OAuth 2.0 de Microsoft Entra ID de 3 piernas.
Dentro de un perfil de seguridad, se puede configurar Microsoft Entra ID (Azure AD) como un proveedor de identidad OAuth 2.0 para proporcionar a los consumidores de API acceso a una API utilizando la autenticación de Microsoft Entra ID.
Para información adicional, consulte la documentación de Microsoft sobre Configurar una aplicación OAuth OpenID Connect desde la galería de aplicaciones de Microsoft Entra.
Desaprobación de Azure AD Graph
La API de Azure AD Graph está desaprobada. Microsoft la retirará completamente el 30 de junio de 2025.
Si anteriormente configuró el registro de su aplicación con Azure AD Graph, debe migrar el registro de la aplicación a Microsoft Graph antes del 1 de febrero de 2025. Los registros de aplicaciones que no se migren antes del 1 de febrero de 2025 recibirán un error al realizar solicitudes.
Después de migrar el registro de la aplicación a Microsoft Graph, debe actualizar el manifiesto de la aplicación. Siga las instrucciones en el paso 12 bajo Conceder permisos de API a Harmony.
Requisitos previos
Necesita la edición P1 de Microsoft Entra ID para configurar y usar Microsoft Entra ID como proveedor de identidad.
1. Configurar Microsoft Entra ID como proveedor de identidad
Sigue estos pasos para configurar una aplicación OAuth 2.0 en el portal de Microsoft Azure. Necesitas obtener el ID de cliente, el secreto de cliente y el ID de directorio para configurar Microsoft Entra ID como un proveedor de identidad en un perfil de seguridad.
-
Inicia sesión en el portal de Microsoft Azure.
-
Ve a Registros de aplicaciones y haz clic en Nuevo registro:
-
En la pantalla Registrar una aplicación, ingresa estos detalles:
- Nombre: Ingresa un nombre, como Jitterbit API Manager APIs.
- Tipos de cuentas admitidas: Selecciona la opción adecuada para tu entorno.
-
Después de hacer clic en Registrar, la pantalla Resumen muestra el ID de aplicación (cliente) y el ID de directorio (inquilino). Guarda estos valores. Los necesitarás más tarde:
-
En Administrar a la izquierda, selecciona Certificados y secretos. En Secretos de cliente, haz clic en Nuevo secreto de cliente:
-
Ingresa una Descripción y establece que el secreto Nunca expire. Luego haz clic en Agregar:
-
Haz clic en el ícono Copiar al portapapeles para guardar el secreto de cliente. Guarda este valor, ya que lo necesitarás más tarde:
2. Conceder permisos de API a Harmony
Sigue estos pasos para conceder a Harmony permisos para usar las API de Microsoft Entra ID con la aplicación OAuth 2.0 que creaste en Configurar Microsoft Entra ID como un proveedor de identidad. Si continúas desde la sección anterior, comienza en el paso 3.
-
Inicia sesión en el portal de Microsoft Azure.
-
En el portal de Microsoft Azure, ve a Registros de aplicaciones. Selecciona la aplicación OAuth 2.0 que creaste en Configurar Microsoft Entra ID como un proveedor de identidad. En el ejemplo, se llama Jitterbit API Manager APIs.
-
En Administrar, selecciona Permisos de API. Luego haz clic en Agregar un permiso:
-
En APIs de Microsoft, selecciona Microsoft Graph:
-
Selecciona Permisos delegados:
-
En Seleccionar permisos, selecciona estos permisos:
-
Permisos de OpenId: Selecciona offline_access, openid y profile.
-
- Usuario: Selecciona User.Read.
-
-
En la parte inferior de la pantalla Solicitar permisos de API, haz clic en Agregar permisos.
-
Regresas a la pantalla Permisos de API para la aplicación. En Permisos configurados, haz clic en Conceder consentimiento de administrador para \<Directorio>.
-
Confirma el diálogo para otorgar consentimiento:
-
En Permisos configurados, la columna Estado muestra que se ha otorgado consentimiento para cada permiso agregado:
-
Sigue estos pasos adicionales para crear un alcance personalizado:
- Navega a Exponer una API y haz clic en Agregar un alcance.
-
En el diálogo Agregar un alcance, ingresa un Nombre de alcance, Nombre para mostrar del consentimiento de administrador, Descripción del consentimiento de administrador, y completa los campos opcionales según desees. Haz clic en Agregar alcance:
-
En la categoría Manage a la izquierda, selecciona Manifest. Asegúrate de que
requestedAccessTokenVersionesté configurado en2y haz clic en Save:
Nota
Tu token de autenticación no se validará si
requestedAccessTokenVersionno está configurado en2.
3. Configura un perfil de seguridad en API Manager
Configura estos campos para un perfil de seguridad:
Nota
El Profile name no debe contener espacios. Si el Profile name contiene espacios, recibirás un error al intentar acceder a una API utilizando ese perfil de seguridad. Microsoft Entra ID devuelve un error similar a este:
La URL de respuesta especificada en la solicitud no coincide con las URLs de respuesta configuradas para la aplicación.
-
Auth type: Selecciona OAuth 2.0.
-
OAuth provider: Selecciona Azure AD.
-
2-legged OAuth Flow: Usa el interruptor para habilitar este campo.
-
OAuth scope: Ingresa el ID de cliente y el alcance en este formato:
<client_id>/.default. -
Authorized domains: Deja este campo vacío.
-
OAuth client ID: Opcionalmente ingresa el ID de cliente del paso 1 para pruebas.
-
OAuth client secret: Opcionalmente ingresa el secreto de cliente del paso 1 para pruebas.
-
Openid discovery URL: Reemplaza
{{ SUBDOMAIN }}con el ID de directorio del paso 1. -
Audience: Ingresa el ID de cliente obtenido anteriormente en el paso 1.
-
URL de autorización de OAuth: Reemplace
{{ SUBDOMAIN }}con el ID del Directorio de paso 1. -
URL de token de OAuth: Reemplace
{{ SUBDOMAIN }}con el ID del Directorio de paso 1. -
URL de información del usuario: Reemplace
{{ SUBDOMAIN }}con el ID del Directorio de paso 1. -
Probar conectividad: Haga clic para validar el token de autenticación.
4. Asignar el perfil de seguridad en el Administrador de API
Para usar el perfil de seguridad con una API, siga las instrucciones para configurar una API personalizada, un servicio OData o una API proxy y seleccione el perfil de seguridad configurado con la autenticación OAuth 2.0 de Microsoft Entra ID.
5. Acceder a la API con autenticación de Microsoft Entra ID
Una vez que haya guardado y publicado una API personalizada, un servicio OData o una API proxy, su API es accesible por URL en la aplicación que llama a la API utilizando el método de autenticación configurado.
Usar OAuth 2.0 de 2 patas es un proceso de dos pasos:
- Genere un token de OAuth ya sea pasando el ID de cliente de Azure y el secreto de cliente obtenidos anteriormente en paso 1 en una Solicitud de Token de Acceso de Credenciales de Cliente RFC6749 al nuevo enlace de URL de Token de OAuth de 2 patas que se muestra en la página de Perfiles de Seguridad o obteniendo el token de OAuth directamente de Microsoft Entra ID.
- Envíe el token de OAuth en el encabezado de la API utilizando el tipo de token "bearer" definido en RFC6750.
Para consumir la API, utiliza el enlace para Copiar URL y úsalo dentro de la aplicación que realiza la llamada:
Si la API admite GET, también puedes pegar la URL en un navegador web para consumir la API manualmente.
Cuando se utiliza Flujo OAuth de 2 patas, el gateway de la API obtiene el token de acceso y la autenticación se realiza automáticamente.
Si la autenticación es exitosa, la carga útil esperada se muestra en el navegador web.