Saltar al contenido

Perfil de seguridad de API OAuth 2.0 de 3 patas de Microsoft Entra ID en Jitterbit API Manager

Introducción

Importante

Microsoft Entra ID era conocido anteriormente como Microsoft Azure AD.

Esta página explica cómo usar Microsoft Entra ID OAuth 2.0 de 3 patas con una API personalizada de Jitterbit, API OData o API proxy. Para OAuth de 2 patas, consulte Perfil de seguridad de API OAuth 2.0 de 2 patas de Microsoft Entra ID.

Dentro de un perfil de seguridad, se puede configurar Microsoft Entra ID (Azure AD) como un proveedor de identidad OAuth 2.0 para proporcionar a los consumidores de API acceso a una API utilizando la autenticación de Microsoft Entra ID.

Para más información, consulte la documentación de Microsoft sobre Configurar una aplicación OAuth OpenID Connect desde la galería de aplicaciones de Microsoft Entra.

Deprecación de Azure AD Graph

La API de Azure AD Graph está en desuso. Microsoft la retirará completamente el 30 de junio de 2025.

Si anteriormente configuró el registro de su aplicación con Azure AD Graph, debe migrar el registro de la aplicación a Microsoft Graph antes del 1 de febrero de 2025. Los registros de aplicaciones que no se migren antes del 1 de febrero de 2025 recibirán un error al realizar solicitudes.

Requisitos previos

Necesita la edición P1 de Microsoft Entra ID para configurar y usar Azure AD como proveedor de identidad.

1. Configurar Microsoft Entra ID como proveedor de identidad

Sigue estos pasos para configurar una aplicación OAuth 2.0 en el portal de Microsoft Azure. Necesitas obtener el ID de cliente, el secreto de cliente y el ID de directorio para configurar Microsoft Entra ID como un proveedor de identidad en un perfil de seguridad.

  1. Inicia sesión en el portal de Microsoft Azure.

  2. Ve a Registros de aplicaciones y haz clic en Nueva inscripción.

    attachment

  3. En la pantalla Registrar una aplicación, ingresa estos detalles:

    • Nombre: Por ejemplo, Jitterbit API Manager APIs.
    • Tipos de cuentas admitidos: Selecciona la opción adecuada para tu situación.

    • URI de redirección (opcional): Usa el menú desplegable para seleccionar Web e ingresa el valor URI de swagger-ui apropiado para tu región (consulta Encontrar mi región):

      • NA: https://apps.na-east.jitterbit.com/api-manager/swagger-ui/oauthredirect
      • EMEA: https://apps.emea-west.jitterbit.com/api-manager/swagger-ui/oauthredirect
      • APAC: https://apps.apac-southeast.jitterbit.com/api-manager/swagger-ui/oauthredirect

  4. Después de hacer clic en Registrar, la pantalla Resumen muestra el ID de aplicación (cliente) y el ID de directorio (inquilino). Guarda estos valores, ya que los necesitarás más adelante:

    attachment

  5. En la pantalla Resumen, haz clic en el enlace bajo URIs de redirección:

    attachment

  6. Aparece la pantalla de Autenticación para la aplicación. Sigue estos pasos para agregar dos valores más de URI de redirección para tu organización y región de Harmony.

    1. Para obtener los valores URI adicionales, abre la pantalla de configuración del perfil de seguridad en API Manager. Copia estos valores. La imagen a continuación está recortada para mostrar las áreas relevantes.

      attachment

    2. En la pantalla de Autenticación para la aplicación en el portal de Microsoft Azure, encuentra la sección Web. Haz clic en Agregar URI e ingresa cada valor de URI adicional del paso anterior. Luego haz clic en Guardar.

      attachment

  7. En la categoría Administrar a la izquierda, selecciona Certificados y secretos. En Secretos de cliente, haz clic en Nuevo secreto de cliente:

    attachment

  8. Ingresa una Descripción y establece que el secreto Nunca expire. Luego haz clic en Agregar:

    attachment

  9. Usa el ícono de Copiar al portapapeles para copiar el nuevo secreto de cliente. Guarda este valor. Lo necesitas al configurar el perfil de seguridad en API Manager:

    attachment

2. Conceder permisos de API a Harmony

Sigue estos pasos para conceder a Harmony permisos para usar las API de Microsoft Entra ID con la aplicación OAuth 2.0 que creaste en Configurar Microsoft Entra ID como proveedor de identidad. Si continúas desde la sección anterior, comienza en el paso 3.

  1. Inicia sesión en el portal de Microsoft Azure.

  2. En el portal de Microsoft Azure, ve a Registros de aplicaciones. Selecciona la aplicación OAuth 2.0 que creaste en Configurar Microsoft Entra ID como proveedor de identidad.

  3. En la categoría Administrar a la izquierda, selecciona Permisos de API. En Permisos configurados, haz clic en Agregar un permiso:

    attachment

  4. En la pantalla de Solicitar permisos de API, en la pestaña de APIs de Microsoft, selecciona la API de Microsoft Graph:

    attachment

  5. En la pantalla de Solicitar permisos de API, selecciona Permisos delegados:

    attachment

  6. Aparece la sección de Seleccionar permisos. Selecciona estos permisos:

    • En Permisos de OpenId, selecciona offline_access, openid y profile:

      attachment

    • En Usuario, selecciona User.Read.

  7. Después de seleccionar estos permisos, haz clic en Agregar permisos en la parte inferior de la pantalla de Solicitar permisos de API.

  8. Regresas a la pantalla de Permisos de API para la aplicación. En Permisos configurados, haz clic en Conceder consentimiento de administrador para \<Directorio>:

    attachment

  9. Confirma el diálogo para conceder consentimiento para el directorio:

    attachment

  10. En Permisos configurados, la columna Estado muestra que se ha concedido consentimiento para cada permiso agregado:

    attachment

3. Configurar un perfil de seguridad en el Administrador de API

Sigue estos pasos para configurar un perfil de seguridad.

Nota

El Nombre del perfil no debe contener espacios. Si el Nombre del perfil contiene espacios, recibirás un error al intentar acceder a una API utilizando ese perfil de seguridad. Microsoft Entra ID devuelve un error similar a este:

La URL de respuesta especificada en la solicitud no coincide con las URL de respuesta configuradas para la aplicación.

Configura estos campos:

microsoft entra ID 3-legged

  • Tipo de autenticación: Selecciona OAuth 2.0.

  • Proveedor de OAuth: Selecciona Azure AD.

  • Flujo de OAuth de 2 patas: Mantén este campo deshabilitado.

  • Dominios autorizados: Deja este campo vacío.

  • ID de cliente OAuth: Ingresa el ID de cliente de paso 1.

  • Secreto de cliente OAuth: Ingresa el secreto de cliente de paso 1.

  • URL de autorización OAuth: Reemplaza {{ SUBDOMAIN }} con el ID de directorio de paso 1.

  • URL de token OAuth: Reemplaza {{ SUBDOMAIN }} con el ID de directorio de paso 1.

  • URL de información del usuario: Reemplaza {{ SUBDOMAIN }} con el ID de directorio de paso 1.

  • Probar conectividad: Haz clic para validar el token de autenticación.

4. Asignar un perfil de seguridad en el Administrador de API

Para usar el perfil de seguridad con una API, sigue las instrucciones para configurar una API personalizada, servicio OData o API proxy y selecciona el perfil de seguridad configurado con autenticación OAuth 2.0 de Microsoft Entra ID.

5. Acceder a una API con autenticación de Microsoft Entra ID

Una vez que hayas guardado y publicado una API personalizada, servicio OData o API proxy, su API es accesible por URL en la aplicación que llama a la API utilizando el método de autenticación configurado.

Para consumir la API, utiliza el enlace para Copiar URL y úsalo dentro de la aplicación que llama:

copiar url

Si la API soporta GET, también puedes pegar la URL en un navegador web para consumir la API manualmente.

Cuando se utiliza OAuth 2.0 de 3 patas, el navegador redirige a la interfaz de inicio de sesión nativa de Microsoft Entra ID. Proporcione sus credenciales para autenticarse con Microsoft Entra ID.

Si la autenticación es exitosa, la carga útil esperada se muestra en el navegador web.