Perfil de seguridad de la API OAuth 2.0 de tres patas de Microsoft Entra ID en Jitterbit API Manager
Introducción
Importante
Azure Active Directory (Azure AD) ahora se conoce como Microsoft Entra ID.
Esta página proporciona los requisitos previos para usar Microsoft Entra ID OAuth 2.0 de 3 patas con una API de Jitterbit personalizada, OData o proxy. (Para OAuth de 2 patas, consulte Perfil de seguridad de la API de OAuth 2.0 de 2 patas de Microsoft Entra ID.)
Dentro de un perfil de seguridad, puede configurar Microsoft Entra ID (** Azure AD**) como un proveedor de identidad OAuth 2.0 para proporcionar a los consumidores de API acceso a una API mediante la autenticación de Microsoft Entra ID.
Para obtener información adicional, consulte Configurar una aplicación OpenID Connect OAuth desde la galería de aplicaciones Microsoft Entra documentación.
Desuso de Azure AD Graph
El gráfico de Azure AD está obsoleto y se retirará por completo el 30 de junio de 2025. Si anteriormente configuró el registro de su aplicación con Azure AD Graph, debe migrar el registro de la aplicación en Microsoft Graph antes del 1 de febrero de 2025. Los registros de aplicaciones que no se hayan migrado antes del 1 de febrero de 2025 recibirán un error al realizar solicitudes.
Prerrequisitos
Se requiere la edición Microsoft Entra ID P1 para configurar y usar Azure AD como proveedor de identidad.
1. Configurar Microsoft Entra ID como proveedor de identidad
Siga estos pasos para configurar una aplicación OAuth 2.0 en el portal de Microsoft Azure y obtener el ID de cliente, el secreto de cliente y el ID de directorio necesarios para configurar Microsoft Entra ID como proveedor de identidad para un perfil de seguridad:
-
Inicie sesión en el portal de Microsoft Azure.
-
En el portal de Microsoft Azure, vaya a Registros de aplicaciones y haga clic en Nuevo registro:
-
En la pantalla Registrar una aplicación, especifique los detalles iniciales de la aplicación:
- Ingrese un Nombre. Por ejemplo, API de Jitterbit API Manager.
- En Tipos de cuentas compatibles, seleccione la opción adecuada para su situación.
- En URI de redirección (opcional), use el menú desplegable para seleccionar Web e ingrese la
swagger-uiValor de URI apropiado para su región (consulte Encontrar mi región):- NA:
https://apps.na-east.jitterbit.com/api-manager/swagger-ui/oauthredirect - EMEA:
https://apps.emea-west.jitterbit.com/api-manager/swagger-ui/oauthredirect - APAC:
https://apps.apac-southeast.jitterbit.com/api-manager/swagger-ui/oauthredirect
- NA:
-
Después de hacer clic en Registrar, en la pantalla Descripción general de la nueva aplicación, se muestran el ID de aplicación (cliente) y el ID de directorio (inquilino). Consérvelos para usarlos más adelante, ya que serán necesarios al configurar el perfil de seguridad en API Manager:
-
En la pantalla Descripción general, haga clic en el enlace debajo de URI de redireccionamiento:
-
Se muestra la pantalla Autenticación de la aplicación. Siga estos pasos para agregar dos valores de URI de redireccionamiento adicionales adecuados para su organización y región de Harmony:
-
Para obtener los valores de URI adicionales, en API Manager, abra la pantalla de configuración del perfil de seguridad y copia estos valores (la imagen a continuación está recortada para mostrar las áreas relevantes):
-
En la pantalla Autenticación de la aplicación en el portal de Microsoft Azure, en la sección Web, haga clic en Agregar URI e ingrese cada valor de URI adicional obtenido anteriormente. Luego, haga clic en Guardar:
-
-
En la categoría Administrar a la izquierda, seleccione Certificados y secretos. Luego, en Secretos de cliente, haga clic en Nuevo secreto de cliente:
-
Proporcione una Descripción y configure el secreto para que Nunca caduque. Luego haga clic en Agregar:
-
Utilice el icono Copiar al portapapeles para copiar el nuevo secreto de cliente. Consérvelo para usarlo más adelante, ya que será necesario al configurar el perfil de seguridad en API Manager.
2. Otorgar permisos de API a Harmony
Siga estos pasos para otorgarle a Harmony permisos para usar las APIs de Microsoft Entra ID con la aplicación OAuth 2.0 que creó en la sección Configurar Microsoft Entra ID como proveedor de identidad. Si continúa desde la sección anterior, puede comenzar en el paso 3 a continuación.
-
Inicie sesión en el portal de Microsoft Azure.
-
En el portal de Microsoft Azure, vaya a Registros de aplicaciones y seleccione la aplicación OAuth 2.0 que creó en la sección Configurar Microsoft Entra ID como proveedor de identidad.
-
En la categoría Administrar a la izquierda, seleccione Permisos de API. Luego, en Permisos configurados, haga clic en Agregar un permiso:
-
En la pantalla Solicitar permisos de API, en la pestaña APIs de Microsoft, seleccione la API Microsoft Graph:
-
En la pantalla Solicitar permisos de API, seleccione Permisos delegados:
-
Ahora se muestra la sección Seleccionar permisos. En ella, seleccione estos permisos:
-
En Permisos OpenId, seleccione offline_access, openid y profile:
-
En Usuario, seleccione Usuario.Lectura:
-
-
Una vez seleccionados estos permisos, en la parte inferior de la pantalla Solicitar permisos de API, haga clic en Agregar permisos.
-
Volverá a la pantalla Permisos de API de la aplicación. En Permisos configurados, haga clic en Otorgar consentimiento de administrador para \<Directory>:
-
Confirme el diálogo para otorgar el consentimiento para el directorio:
-
En Permisos configurados, la columna Estado ahora debería mostrar que se ha otorgado el consentimiento para cada permiso agregado:
3. Configurar un perfil de seguridad en API Manager
Siga las instrucciones para Configurar un perfil de seguridad en Configuración del perfil de seguridad.
Nota
El nombre de perfil no debe contener espacios. Si el nombre de perfil contiene espacios, recibirá un error al intentar acceder a una API mediante ese perfil de seguridad. Microsoft Entra ID devuelve un error similar a este:
The reply URL specified in the request does not match the reply URLs configured for the application.
Durante la configuración, seleccione OAuth 2.0 como Tipo de autenticación y Azure AD como Proveedor de OAuth:
Ingrese el ID de cliente OAuth y el Secreto de cliente OAuth obtenidos en Configurar Microsoft Entra ID como proveedor de identidad.
Edite la URL de descubrimiento de OpenID, la URL de autorización de OAuth, la URL del token de OAuth y la URL de información del usuario para reemplazar el ID del directorio de marcador de posición (yourDirectoryID) con el ID de directorio obtenido en la sección Descripción general de su aplicación en el portal de Microsoft Azure.
Haga clic en Probar ID de cliente + secreto para verificar la conectividad con el proveedor de identidad mediante la configuración.
4. Asignar un perfil de seguridad en API Manager
Para utilizar el perfil de seguridad con una API, siga las instrucciones para configurar una API personalizada, servicio OData, o API proxy y seleccione el perfil de seguridad configurado con la autenticación Microsoft Entra ID OAuth 2.0.
5. Acceda a una API con autenticación de Microsoft Entra ID
Una vez que haya guardado y publicado una API personalizada, servicio OData, o API proxy, su API es accesible mediante URL en la aplicación que llama a la API utilizando el método de autenticación configurado.
Para consumir la API, use el enlace Copiar URL y úselo dentro de la aplicación que realiza la llamada:
Si la API admite GET, también puedes pegar la URL en un navegador web para consumir la API manualmente.
Cuando se utiliza OAuth 2.0 de tres vías, el navegador redirecciona a la interfaz de inicio de sesión nativa de Microsoft Entra ID. Proporcione sus credenciales para autenticarse con Microsoft Entra ID.
Si la autenticación es exitosa, la carga útil esperada se muestra en el navegador web.