Ir para o conteúdo

Perfil de segurança da API OAuth 2.0 de 3 etapas do Microsoft Entra ID no Jitterbit API Manager

Introdução

Importante

O Microsoft Entra ID era anteriormente conhecido como Microsoft Azure AD.

Esta página explica como usar o Microsoft Entra ID 3-legged OAuth 2.0 com uma API personalizada do Jitterbit, API OData ou API proxy. Para OAuth de 2 etapas, consulte Perfil de segurança da API OAuth 2.0 de 2 etapas do Microsoft Entra ID.

Dentro de um perfil de segurança, você pode configurar o Microsoft Entra ID (Azure AD) como um provedor de identidade OAuth 2.0 para fornecer acesso a consumidores de API usando a autenticação do Microsoft Entra ID.

Para mais informações, consulte a documentação da Microsoft sobre Configurar um aplicativo OAuth OpenID Connect da galeria de aplicativos do Microsoft Entra.

Descontinuação do Azure AD Graph

A API Azure AD Graph está em descontinuação. A Microsoft a aposentará completamente em 30 de junho de 2025.

Se você configurou anteriormente o registro do seu aplicativo com o Azure AD Graph, deve migrar o registro do aplicativo para o Microsoft Graph antes de 1º de fevereiro de 2025. Registros de aplicativos que não forem migrados até 1º de fevereiro de 2025 receberão um erro ao fazer solicitações.

Pré-requisitos

Você precisa da edição P1 do Microsoft Entra ID para configurar e usar o Azure AD como um provedor de identidade.

1. Configurar o Microsoft Entra ID como um provedor de identidade

Siga estas etapas para configurar um aplicativo OAuth 2.0 no portal Microsoft Azure. Você precisa obter o ID do cliente, o segredo do cliente e o ID do diretório para configurar o Microsoft Entra ID como um provedor de identidade em um perfil de segurança.

  1. Faça login no portal Microsoft Azure.

  2. Vá para Registros de aplicativos e clique em Novo registro.

    attachment

  3. Na tela Registrar um aplicativo, insira estes detalhes:

    • Nome: Por exemplo, APIs do Jitterbit API Manager.
    • Tipos de conta suportados: Selecione a opção apropriada para sua situação.

    • URI de redirecionamento (opcional): Use o menu suspenso para selecionar Web e insira o valor URI swagger-ui apropriado para sua região (veja Encontrando minha região):

      • NA: https://apps.na-east.jitterbit.com/api-manager/swagger-ui/oauthredirect
      • EMEA: https://apps.emea-west.jitterbit.com/api-manager/swagger-ui/oauthredirect
      • APAC: https://apps.apac-southeast.jitterbit.com/api-manager/swagger-ui/oauthredirect

  4. Depois de clicar em Registrar, a tela Visão geral mostra o ID do aplicativo (cliente) e o ID do diretório (inquilino). Salve esses valores, pois você precisará deles mais tarde:

    attachment

  5. Na tela Visão geral, clique no link sob URIs de redirecionamento:

    attachment

  6. A tela Autenticação para o aplicativo aparece. Siga estas etapas para adicionar mais dois valores de URI de redirecionamento para sua organização e região do Harmony.

    1. Para obter os valores de URI adicionais, abra a tela de configuração do perfil de segurança no API Manager. Copie esses valores. A imagem abaixo foi cortada para mostrar as áreas relevantes.

      attachment

    2. Na tela de Autenticação para o aplicativo no portal Microsoft Azure, encontre a seção Web. Clique em Adicionar URI e insira cada valor de URI adicional da etapa anterior. Em seguida, clique em Salvar.

      attachment

  7. Na categoria Gerenciar à esquerda, selecione Certificados e segredos. Em Segredos do cliente, clique em Novo segredo do cliente:

    attachment

  8. Insira uma Descrição e defina o segredo para Nunca expirar. Em seguida, clique em Adicionar:

    attachment

  9. Use o ícone Copiar para a área de transferência para copiar o novo segredo do cliente. Salve este valor. Você precisará dele ao configurar o perfil de segurança no API Manager:

    attachment

2. Conceder permissões de API ao Harmony

Siga estas etapas para conceder permissões ao Harmony para usar as APIs do Microsoft Entra ID com o aplicativo OAuth 2.0 que você criou em Configurar o Microsoft Entra ID como um provedor de identidade. Se você estiver continuando da seção anterior, comece na etapa 3.

  1. Faça login no portal Microsoft Azure.

  2. No portal Microsoft Azure, vá para Registros de aplicativos. Selecione o aplicativo OAuth 2.0 que você criou em Configurar o Microsoft Entra ID como um provedor de identidade.

  3. Na categoria Gerenciar à esquerda, selecione Permissões de API. Em Permissões configuradas, clique em Adicionar uma permissão:

    attachment

  4. Na tela Solicitar permissões de API, na aba APIs da Microsoft, selecione a API Microsoft Graph:

    attachment

  5. Na tela Solicitar permissões da API, selecione Permissões delegadas:

    attachment

  6. A seção Selecionar permissões aparece. Selecione estas permissões:

    • Em Permissões OpenId, selecione offline_access, openid e profile:

      attachment

    • Em Usuário, selecione User.Read.

  7. Após selecionar essas permissões, clique em Adicionar permissões na parte inferior da tela Solicitar permissões da API.

  8. Você retorna à tela Permissões da API para o aplicativo. Em Permissões configuradas, clique em Conceder consentimento do administrador para \<Diretório>:

    attachment

  9. Confirme o diálogo para conceder consentimento para o diretório:

    attachment

  10. Em Permissões configuradas, a coluna Status mostra que o consentimento foi concedido para cada permissão adicionada:

    attachment

3. Configure um perfil de segurança no Gerenciador de API

Siga estas etapas para configurar um perfil de segurança.

Nota

O Nome do perfil não deve conter espaços. Se o Nome do perfil contiver espaços, você receberá um erro ao tentar acessar uma API usando esse perfil de segurança. O Microsoft Entra ID retorna um erro semelhante a este:

A URL de resposta especificada na solicitação não corresponde às URLs de resposta configuradas para o aplicativo.

Configure estes campos:

microsoft entra ID 3-legged

  • Tipo de autenticação: Selecione OAuth 2.0.

  • Provedor OAuth: Selecione Azure AD.

  • Fluxo OAuth de 2 pernas: Mantenha este campo desabilitado.

  • Domínios autorizados: Deixe este campo vazio.

  • ID do cliente OAuth: Insira o ID do cliente do passo 1.

  • Segredo do cliente OAuth: Insira o segredo do cliente do passo 1.

  • URL de autorização OAuth: Substitua {{ SUBDOMAIN }} pelo ID do Diretório do passo 1.

  • URL do token OAuth: Substitua {{ SUBDOMAIN }} pelo ID do Diretório do passo 1.

  • URL de informações do usuário: Substitua {{ SUBDOMAIN }} pelo ID do Diretório do passo 1.

  • Testar conectividade: Clique para validar o token de autenticação.

4. Atribuir um perfil de segurança no API Manager

Para usar o perfil de segurança com uma API, siga as instruções para configurar uma API personalizada, serviço OData ou API proxy e selecione o perfil de segurança configurado com autenticação OAuth 2.0 do Microsoft Entra ID.

5. Acessar uma API com autenticação do Microsoft Entra ID

Uma vez que você tenha salvo e publicado uma API personalizada, serviço OData ou API proxy, sua API é acessível por URL na aplicação que chama a API usando o método de autenticação configurado.

Para consumir a API, use o link para Copiar URL e utilize-o dentro da aplicação que faz a chamada:

copiar url

Se a API suportar GET, você também pode colar a URL em um navegador da web para consumir a API manualmente.

Quando o OAuth 2.0 de 3 etapas está sendo utilizado, o navegador redireciona para a interface de login nativa do Microsoft Entra ID. Forneça suas credenciais para autenticar-se com o Microsoft Entra ID.

Se a autenticação for bem-sucedida, a carga útil esperada é exibida no navegador da web.