API merkezinizdeki API'lere erişimi yetkilendirme

API merkezinizdeki API'lere erişimi yetkilendirmek için ayarları yapılandırın. Bu ayarlar:

  • API anahtarlarını, OAuth 2.0 yetkilendirmesini veya başka bir HTTP güvenlik düzenini kullanarak API kimlik doğrulamasını ve yetkilendirmesini etkinleştirme
  • Kimlik doğrulama yapılandırmalarını envanterinizdeki API sürümleriyle ilişkilendirme
  • Erişim ilkeleri aracılığıyla belirlenen kullanıcılar veya gruplar için API sürümlerine erişimi yönetme
  • Yetkili kullanıcıların API'leri API Center portalında test etmelerini sağlama

Önkoşullar

1. Seçenek: API anahtarı kimlik doğrulamayı yapılandırma

API anahtarı kimlik doğrulamasını destekleyen bir API için aşağıdaki adımları tamamlayın.

1. API anahtarını Azure Key Vault'ta depolama

API anahtarını anahtar kasasında gizli dizi olarak depolamak için bkz. Key Vault'ta gizli dizi ayarlama ve alma.

API merkezinizin yönetilen kimliğini kullanarak anahtar kasasına erişin.

API merkezinizde yönetilen kimliği etkinleştirme

Bu senaryoda, API merkeziniz Azure kaynaklarına erişmek için yönetilen kimlik kullanır. Gereksinimlerinize bağlı olarak, sistem tarafından atanan veya kullanıcı tarafından atanan bir veya daha fazla yönetilen kimliği etkinleştirin.

Aşağıdaki örneklerde, Azure portalını veya Azure CLI'yı kullanarak sistem tarafından atanan yönetilen kimliğin nasıl etkinleştirileceği gösterilmektedir. Yüksek düzeyde yapılandırma adımları, kullanıcı tarafından atanan yönetilen kimlik için benzerdir.

  1. Portalda API merkezinize gidin.
  2. Kenar çubuğu menüsünde, Güvenlik'in altında Yönetilen kimlikler'i seçin.
  3. Sistem tarafından atanan'ı seçin ve durumu Açık şeklinde ayarlayın.
  4. Kaydetseçeneğini seçin.

Yönetilen kimliğe Key Vault Sırları Kullanıcı rolünü atayın.

Varlıkların içe aktarılmasına izin vermek için, API merkezinizin yönetilen kimliğine Azure anahtar kasanızdaki Key Vault Sırları Kullanıcısı rolünü verin. Portalı veya Azure CLI'yi kullanabilirsiniz.

  1. Portalda anahtar kasanıza gidin.
  2. Kenar çubuğu menüsünde Erişim denetimi (IAM) öğesini seçin.
  3. + Rol ataması ekle'yi seçin.
  4. Rol ataması ekle sayfasında, değerleri aşağıdaki gibi ayarlayın:
    1. Rol sekmesinde Key Vault Gizli Dizileri Kullanıcısı seçin.
    2. Üyeler sekmesinde, Erişimi Ata - Yönetilen kimliği seçin>+ Üyeleri Seç.
    3. Yönetilen kimlikleri seçin sayfasında, önceki bölümde eklediğiniz API merkezinizin sistem tarafından atanan yönetilen kimliğini seçin. Seç'e tıklayın.
    4. Gözden geçir + ata'yı seçin.

2. API anahtarı yapılandırmasını ekleme

  1. Portalda API merkezinize gidin.

  2. İdare'nin altında Yetkilendirme>+ Yapılandırma ekle'yi seçin.

  3. Yapılandırma ekle sayfasında şu değerleri ayarlayın: Portalda API anahtarı yapılandırma ekran görüntüsü.

    Ayarlar Açıklama
    Başlık Yetkilendirme için bir ad girin.
    Açıklama İsteğe bağlı olarak yetkilendirme için bir açıklama girin.
    Güvenlik düzeni API Anahtarı'nı seçin.
    API anahtarı konumu Anahtarın API isteklerinde nasıl sunulduğunu seçin. Kullanılabilir değerler Üst Bilgi (istek üst bilgisi) ve Sorgu (sorgu parametresi) değerleridir.
    API anahtarı parametre adı API anahtarını içeren HTTP üst bilgisinin veya sorgu parametresinin adını girin. Örnek: x-api-key
    API anahtarı Key Vault gizli referansı Seç seçin ve depoladığınız aboneliği, anahtar kasasını ve gizli anahtarı seçin. Örnek: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>
  4. Oluştur'i seçin.

Bu yapılandırmayı tamamladıktan sonra API anahtarı yapılandırmasını bir API sürümüyle ilişkilendirmek için API sürümüne kimlik doğrulama yapılandırması ekleme bölümüne gidin.

Seçenek 2: OAuth 2.0 yetkilendirmesini yapılandırma

OAuth 2.0 yetkilendirmesini destekleyen bir API için aşağıdaki adımları tamamlayın. Aşağıdaki akışlardan birini veya her ikisini de yapılandırabilirsiniz:

  • PKCE ile yetkilendirme kodu akışı (Kod Değişim İspat Anahtarı) - API Merkezi portalında olduğu gibi tarayıcıda kullanıcı kimliklerini doğrulayın.
  • İstemci kimlik bilgileri akışı - Belirli bir kullanıcının izinlerini gerektirmeyen uygulamalar için.

1. OAuth 2.0 uygulaması oluşturma

Aboneliğinizle bağlı olan Microsoft Entra hizmeti gibi bir kimlik sağlayıcısında uygulama kaydı oluşturun. Adımlar kimlik sağlayıcınıza bağlıdır.

Aşağıdaki örnekte, Microsoft Entra Id'de uygulama kaydının nasıl oluşturulacağı gösterilmektedir.

  1. Kiracıda yeterli izinlere sahip olarak Azure portalında oturum açın.
  2. Microsoft Entra ID>+ Yeni kayıt'a gidin.
  3. Uygulama kaydetme sayfasında:
    1. Ad alanına anlamlı bir ad girin.
    2. Desteklenen hesap türleri bölümünde uygun bir seçenek belirleyin; örneğin, Yalnızca bu kuruluş dizinindeki hesaplar (Tek kiracı).
    3. (Yetkilendirme kodu akışı için) Yeniden Yönlendirme URI'sindeTek sayfalı uygulama (SPA) öğesini seçin ve API Center portalınızın URI'sini girin: https://<service-name>.portal.<location>.azure-api-center.ms. <service-name> ve <location>'yi API merkezinizin adı ve dağıtım konumuyla değiştirin. Örnek: https://myapicenter.portal.eastus.azure-api-center.ms
    4. Kaydıseçin.
  4. Yönet menüsünde Sertifikalar ve gizli anahtarlar> seçeneğini seçin, ardından + Yeni istemci gizli anahtarı'nı seçin.
    1. Bir Açıklama girin.
    2. Süresi Dolanlar için bir seçenek belirleyin.
    3. Add (Ekle) seçeneğini belirleyin.
    4. Sayfadan çıkmadan önce istemci gizli anahtarını Değer kopyalayın. Sonraki bölümde ihtiyacınız olacak.
  5. İsteğe bağlı olarak, uygulama kaydınıza API kapsamları ekleyin. Bkz . Web API'sini kullanıma açmak için uygulama yapılandırma.

API merkezinizde OAuth 2.0'ı yapılandırırken, uygulama kaydından aşağıdaki değerlere ihtiyacınız vardır:

  • Genel Bakış sayfasındaki Uygulama (İstemci) Kimliği ve kopyaladığınız İstemci gizli anahtarı.
  • Genel Bakış>Uç Noktaları'ndan aşağıdaki uç nokta URL'leri:
    • OAuth2.0 yetkilendirme uç noktası (v2)
    • OAuth 2.0 belirteç uç noktası (v2) (belirteç yenileme uç noktası olarak da kullanılır)
  • Yapılandırdığınız tüm API kapsamları.

2. Azure Key Vault'ta istemci sırlarını depolama

İstemci sırrını anahtar kasasında depolamak için bkz. Key Vault'ta sır ayarlama ve alma.

API merkezinizin yönetilen kimliğini kullanarak anahtar kasasına erişin.

API merkezinizde yönetilen kimliği etkinleştirme

Bu senaryoda, API merkeziniz Azure kaynaklarına erişmek için yönetilen kimlik kullanır. Gereksinimlerinize bağlı olarak, sistem tarafından atanan veya kullanıcı tarafından atanan bir veya daha fazla yönetilen kimliği etkinleştirin.

Aşağıdaki örneklerde, Azure portalını veya Azure CLI'yı kullanarak sistem tarafından atanan yönetilen kimliğin nasıl etkinleştirileceği gösterilmektedir. Yüksek düzeyde yapılandırma adımları, kullanıcı tarafından atanan yönetilen kimlik için benzerdir.

  1. Portalda API merkezinize gidin.
  2. Kenar çubuğu menüsünde, Güvenlik'in altında Yönetilen kimlikler'i seçin.
  3. Sistem tarafından atanan'ı seçin ve durumu Açık şeklinde ayarlayın.
  4. Kaydetseçeneğini seçin.

Yönetilen kimliğe Key Vault Sırları Kullanıcı rolünü atayın.

Varlıkların içe aktarılmasına izin vermek için, API merkezinizin yönetilen kimliğine Azure anahtar kasanızdaki Key Vault Sırları Kullanıcısı rolünü verin. Portalı veya Azure CLI'yi kullanabilirsiniz.

  1. Portalda anahtar kasanıza gidin.
  2. Kenar çubuğu menüsünde Erişim denetimi (IAM) öğesini seçin.
  3. + Rol ataması ekle'yi seçin.
  4. Rol ataması ekle sayfasında, değerleri aşağıdaki gibi ayarlayın:
    1. Rol sekmesinde Key Vault Gizli Dizileri Kullanıcısı seçin.
    2. Üyeler sekmesinde, Erişimi Ata - Yönetilen kimliği seçin>+ Üyeleri Seç.
    3. Yönetilen kimlikleri seçin sayfasında, önceki bölümde eklediğiniz API merkezinizin sistem tarafından atanan yönetilen kimliğini seçin. Seç'e tıklayın.
    4. Gözden geçir + ata'yı seçin.

3. OAuth 2.0 yapılandırması ekleme

  1. Portalda API merkezinize gidin.

  2. İdare'nin altında Yetkilendirme>+ Yapılandırma ekle'yi seçin.

  3. Yapılandırma ekle sayfasında aşağıdaki değerleri ayarlayın:

    Portalda OAuth 2.0'ı yapılandırma işleminin ekran görüntüsü.

    Uyarı

    Daha önce oluşturduğunuz uygulama kaydındaki değerleri kullanın. Microsoft Entra ID için, uygulama kaydının Genel Bakış sayfasında İstemci Kimliği'ni ve URL uç noktalarını Genel Bakış ile > sayfalarında bulun.

    Ayarlar Açıklama
    Başlık Yetkilendirme için bir ad girin.
    Açıklama İsteğe bağlı olarak yetkilendirme için bir açıklama girin.
    Güvenlik düzeni OAuth2'yi seçin.
    Müşteri Kimliği Kimlik sağlayıcınızda oluşturduğunuz uygulamanın istemci kimliğini (GUID) girin.
    İstemci sırrı Depoladığınız aboneliği, anahtar kasasını ve istemci sırrını seçin.

    Örnek: https://<key-vault-name>.vault.azure.net/secrets/<secret-name>
    Yetkilendirme URL'si Kimlik sağlayıcısı için OAuth 2.0 yetkilendirme uç noktasını girin.

    Microsoft Entra Id örneği: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize
    Belirteç URL'si Kimlik sağlayıcısı için OAuth 2.0 belirteç uç noktasını girin.

    Microsoft Entra Id örneği: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
    URL'yi yenile Kimlik sağlayıcısı için OAuth 2.0 belirteci yenileme uç noktasını girin. Çoğu sağlayıcı için, Belirteç URL'si ile aynıdır.

    Microsoft Entra Id örneği: https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
    OAuth2 akışı OAuth 2.0 akışlarından birini veya her ikisini birden seçin: Yetkilendirme kodu (PKCE) ve İstemci kimlik bilgileri.
    Kapsamlar API'niz için yapılandırılmış bir veya daha fazla API kapsamını boşluklarla ayırarak girin. Yapılandırılan kapsamlar yoksa .default girin.
  4. Yapılandırmayı kaydetmek için Oluştur'u seçin.

Bu yapılandırmayı tamamladıktan sonra, OAuth 2.0 yapılandırmasını bir API sürümüyle ilişkilendirmek için API sürümüne kimlik doğrulama yapılandırması ekleme bölümüne gidin.

Seçenek 3: Başka bir HTTP güvenlik düzeni için ayarları yapılandırma

Temel kimlik doğrulaması veya OAuth 2.0 kullanmayan taşıyıcı belirteçler gibi başka bir HTTP güvenlik şeması kullanan API'ler için aşağıdaki adımları tamamlayın. Eski API'ler için bu seçeneği belirlemeniz gerekebilir.

Portalda API merkezinize gidin.

  1. İdare'nin altında Yetkilendirme>+ Yapılandırma ekle'yi seçin.

  2. Yapılandırma ekle sayfasında aşağıdaki değerleri ayarlayın:

    Ayarlar Açıklama
    Başlık Yetkilendirme için bir ad girin.
    Açıklama İsteğe bağlı olarak yetkilendirme için bir açıklama girin.
    Güvenlik düzeni HTTP'yi seçin.
    Kimlik doğrulaması düzeni API tarafından kullanılan kimlik doğrulama düzenini seçin. Örnek olarak aşağıdaki tablodaki şemalar verilebilir.
    Kimlik doğrulaması düzeni Açıklama
    Basic username:password üst bilgisine Base64 ile kodlanmış bir dize olarak Authorization: Basic <credentials> gönderir.
    Taşıyıcı Authorization: Bearer <token> başlığında, OAuth 2.0 erişim belirteci dışındaki bir belirteci gönderir.
    Özet Sunucunun bir nonce gönderdiği meydan okuma-yanıt mekanizması; istemci, kimlik bilgileri + nonce'nin hash değeriyle yanıt verir.
    Özel Satıcıya özgü düzen gibi başka bir mekanizma düzeni.

Bu yapılandırmayı tamamladıktan sonra, yapılandırmayı bir API sürümüyle ilişkilendirmek için sonraki bölüme gidin.

API sürümüne kimlik doğrulama yapılandırması ekleme

Kimlik doğrulama düzenini yapılandırdıktan sonra yapılandırmayı bir API sürümüyle ilişkilendirin.

  1. Portalda API merkezinize gidin.

  2. Stok'un altında Varlıklar'ı seçin.

  3. Yapılandırmayı ilişkilendirmek için API'yi seçin.

  4. Ayrıntılar'ın altında Sürümler'i ve ardından hedef API sürümünü seçin.

  5. API sürümünün bağlam menüsünde Erişimi Yönet'i seçin. Portalda bir kimlik doğrulama yapılandırmasını API sürümüyle ilişkilendirme işleminin ekran görüntüsü.

  6. Erişimi Yönet sayfasında + Kimlik doğrulaması ekle'yi seçin.

  7. Kullanılabilir bir Kimlik Doğrulama yapılandırması seçin.

  8. Oluştur'i seçin.

Uyarı

API tarafından destekleniyorsa, API sürümüne birden çok kimlik doğrulama yapılandırması ekleyebilirsiniz (örneğin, hem API anahtarı hem de OAuth 2.0). Aynı yapılandırmayı birden çok API sürümüne de ekleyebilirsiniz.

Belirli kullanıcılar veya gruplar için erişimi yönetme

Api sürümündeki belirli kimlik doğrulama yapılandırmaları kapsamındaki API Center Kimlik Bilgisi Erişim Okuyucusu rolünü kullanıcılara veya gruplara atayan bir erişim ilkesi yapılandırın. Bu rol yalnızca belirlenen kullanıcıların API Center portalında bir API'yi test etmesine olanak tanır.

  1. Portalda API merkezinize gidin.

  2. Kimlik doğrulama yapılandırmasına sahip bir API sürümüne gidin.

  3. Erişimi Yönet'i seçin.

  4. Yönetmek istediğiniz kimlik doğrulama yapılandırmasını seçin.

  5. Açılan menüde Erişim ilkelerini düzenle'yi seçin. Portalda erişim ilkesi ekleme işleminin ekran görüntüsü.

  6. Erişimi yönet sayfasında + Kullanıcı Ekle > veya + Grup Ekle'yi >seçin.

  7. Kullanıcıları veya grupları arayın ve seçin. Birden çok öğe seçebilirsiniz.

  8. 'ı seçin'i seçin.

Tavsiye

Kullanıcıları veya grupları kaldırmak için Erişimi yönet sayfasındaki bağlam menüsünde Sil'i seçin.

API Center portalında API'yi test edin

Kimlik doğrulaması ve kullanıcı erişimi için yapılandırdığınız bir API'yi test edin.

Tavsiye

Ayrıca, portaldaki tüm oturum açmış kullanıcılar için hangi API'lerin görüneceğini denetlemek için görünürlük ayarlarını yapılandırabilirsiniz.

  1. Portalda API merkezinize gidin.

  2. API Center Portalı'nın altında Portal ayarları> görüntüle'yi seçin.

  3. Bir API seçin ve ardından kimlik doğrulama yöntemi yapılandırılmış bir sürüm seçin.

  4. Seçenekler'in altında Belgeleri görüntüle'yi seçin. API Center portalındaki API ayrıntılarının ekran görüntüsü.

  5. Bir işlem seçin ve ardından Bu API'yi deneyin'i seçin.

  6. Kimlik doğrulama ayarlarını gözden geçirin. Erişiminiz varsa Gönder'i seçin. API Center portalının test konsolunda BIR API'yi test etme işleminin ekran görüntüsü.

  7. Başarılı bir işlem bir 200 OK yanıt kodu ve yanıt gövdesi döndürür. Başarısız bir işlem bir hata iletisi döndürür.