Perfil de segurança da API OAuth 2.0 de 3 pernas do Microsoft Entra ID no Jitterbit API Manager
Introdução
Importante
O Azure Active Directory (Azure AD) agora é conhecido como Microsoft Entra ID.
Esta página fornece os pré-requisitos para usar o Microsoft Entra ID 3-legged OAuth 2.0 com uma API personalizada, OData ou proxy do Jitterbit. (Para OAuth 2-legged, consulte Perfil de segurança da API Microsoft Entra ID 2-legged OAuth 2.0.)
Em um perfil de segurança, você pode configurar o Microsoft Entra ID (** Azure AD**) como um provedor de identidade OAuth 2.0 para fornecer aos consumidores de API acesso a uma API usando a autenticação do Microsoft Entra ID.
Para obter informações adicionais, consulte Configurar um aplicativo OpenID Connect OAuth na galeria de aplicativos Microsoft Entra documentação.
Descontinuação do Azure AD Graph
O Azure AD Graph está obsoleto e será totalmente descontinuado em 30 de junho de 2025. Se você configurou anteriormente o registro do seu aplicativo com o Azure AD Graph, você deve migrar o registro do aplicativo no Microsoft Graph antes de 1º de fevereiro de 2025. Os registros de aplicativos que não foram migrados até 1º de fevereiro de 2025 receberão um erro ao fazer solicitações.
Pré-requisitos
O Microsoft Entra ID P1 edition é necessário para configurar e usar o Azure AD como um provedor de identidade.
1. Configurar o Microsoft Entra ID como um provedor de identidade
Siga estas etapas para configurar um aplicativo OAuth 2.0 no portal do Microsoft Azure e obter o ID do cliente, o segredo do cliente e o ID do diretório necessários para configurar o Microsoft Entra ID como um provedor de identidade para um perfil de segurança:
-
Efetue login no portal do Microsoft Azure.
-
No portal do Microsoft Azure, acesse Registros de aplicativos e clique em Novo registro:
-
Na tela Registrar uma aplicação, especifique os detalhes iniciais da aplicação:
- Insira um Nome. Por exemplo, Jitterbit API Manager APIs.
- Em Tipos de conta suportados, selecione a opção apropriada para sua situação.
- Em Redirecionar URI (opcional), use o menu suspenso para selecionar Web e insira o
swagger-ui
Valor URI apropriado para sua região (veja Encontrando minha região):- NA:
https://apps.na-east.jitterbit.com/api-manager/swagger-ui/oauthredirect
- EMEA:
https://apps.emea-west.jitterbit.com/api-manager/swagger-ui/oauthredirect
- Ásia-Pacífico:
https://apps.apac-southeast.jitterbit.com/api-manager/swagger-ui/oauthredirect
- NA:
-
Após clicar em Registrar, na tela Visão geral do novo aplicativo, o ID do aplicativo (cliente) e o ID do diretório (locatário) são exibidos. Guarde-os para uso posterior, pois serão necessários ao configurar o perfil de segurança no API Manager:
-
Na tela Visão geral, clique no link em URIs de redirecionamento:
-
A tela Autenticação do aplicativo é exibida. Siga estas etapas para adicionar dois valores de URI de redirecionamento adicionais apropriados para sua organização e região do Harmony:
-
Para obter os valores de URI adicionais, no API Manager, abra a tela de configuração do perfil de segurança e copie esses valores (a imagem abaixo é cortada para mostrar as áreas relevantes):
-
Na tela Autenticação do aplicativo no portal do Microsoft Azure, na seção Web, clique em Adicionar URI e insira cada valor de URI adicional obtido acima. Em seguida, clique em Salvar:
-
-
Na categoria Gerenciar à esquerda, selecione Certificados e segredos. Em seguida, em Segredos do cliente, clique em Novo segredo do cliente:
-
Forneça uma Descrição e defina o segredo para Nunca expirar. Em seguida, clique em Adicionar:
-
Use o ícone Copiar para a área de transferência para copiar o novo segredo do cliente. Guarde-o para uso posterior, pois será necessário ao configurar o perfil de segurança no API Manager.
2. Conceda permissões de API ao Harmony
Siga estas etapas para conceder permissões ao Harmony para usar as APIs do Microsoft Entra ID com o aplicativo OAuth 2.0 que você criou na seção Configurar o Microsoft Entra ID como um provedor de identidade. Se continuar a partir da seção anterior, você pode começar na etapa 3 abaixo.
-
Efetue login no portal do Microsoft Azure.
-
No portal do Microsoft Azure, acesse Registros de aplicativos e selecione o aplicativo OAuth 2.0 que você criou na seção Configurar o Microsoft Entra ID como um provedor de identidade.
-
Na categoria Gerenciar à esquerda, selecione Permissões de API. Em seguida, em Permissões configuradas, clique em Adicionar uma permissão:
-
Na tela Solicitar permissões de API, na aba APIs da Microsoft, selecione a API Microsoft Graph:
-
Na tela Solicitar permissões de API, selecione Permissões delegadas:
-
A seção Selecionar permissões agora é exibida. Dentro dela, selecione estas permissões:
-
Em Permissões OpenId, selecione offline_access, openid e profile:
-
Em Usuário, selecione Usuário.Leitura:
-
-
Depois que essas permissões forem selecionadas, na parte inferior da tela Solicitar permissões de API, clique em Adicionar permissões.
-
Você retornará à tela Permissões de API para o aplicativo. Em Permissões configuradas, clique em Conceder consentimento de administrador para \<Diretório>:
-
Reconheça o diálogo para conceder consentimento para o diretório:
-
Em Permissões configuradas, a coluna Status agora deve mostrar que o consentimento foi concedido para cada permissão adicionada:
3. Configure um perfil de segurança no API Manager
Siga as instruções para Configurar um perfil de segurança em Configuração do perfil de segurança.
Nota
O Nome do perfil não deve conter espaços. Se o Nome do perfil contiver espaços, você receberá um erro ao tentar acessar uma API usando esse perfil de segurança. O Microsoft Entra ID retorna um erro semelhante a este:
The reply URL specified in the request does not match the reply URLs configured for the application.
Durante a configuração, selecione OAuth 2.0 como o Tipo de autenticação e Azure AD como o provedor OAuth:
Insira o ID do cliente OAuth e o Segredo do cliente OAuth obtidos em Configurar o Microsoft Entra ID como um provedor de identidade.
Edite a URL de descoberta do OpenID, a URL de autorização do OAuth, a URL do token do OAuth e a URL de informações do usuário para substituir o ID do diretório de espaço reservado (yourDirectoryID
) com o ID do diretório obtido na seção Visão geral do seu aplicativo no portal do Microsoft Azure.
Clique em Test Client ID + Secret para verificar a conectividade com o provedor de identidade usando a configuração.
4. Atribuir um perfil de segurança no API Manager
Para usar o perfil de segurança com uma API, siga as instruções para configurar uma API personalizada, serviço OData, ou API proxy e selecione o perfil de segurança configurado com autenticação Microsoft Entra ID OAuth 2.0.
5. Acesse uma API com autenticação Microsoft Entra ID
Depois de salvar e publicar uma API personalizada, serviço OData, ou API proxy, sua API é acessível por URL no aplicativo que chama a API usando o método de autenticação configurado.
Para consumir a API, use o link para Copiar URL e use-o dentro do aplicativo de chamada:
Se a API suportar GET, você também pode colar a URL em um navegador da Web para consumir a API manualmente.
Quando o OAuth 2.0 de 3 pernas está sendo usado, o navegador redireciona para a interface de login nativa para o Microsoft Entra ID. Forneça suas credenciais para autenticar com o Microsoft Entra ID.
Se a autenticação for bem-sucedida, a payload esperada será exibida no navegador da web.