SAP云平台API管理的JWT策略使您能够，验证和解码JWT令牌。在博客系列：使用SAP云平台API管理的JSON Web令牌（JWT）验证中，我们介绍了针对各种身份提供商（如SAP云平台XS UAA、Okta、Azure Active Directory）的JWT验证策略的建模和配置。在博客系列的这一部分中，我们介绍了为Azure Active Directory配置JWT令牌验证策略的步骤。

前提条件

第1部分：在SAP云平台API管理中建模JWT令牌验证流OAuth应用程序根据您的用例在Azure Active Directory中流动

登录到您的Azure门户并选择Azure Active Directory选项卡

选择属性选项卡，以获取您的Azure Active Directory租户Id。复制并记下目录Id的值。此字段将用于SAP云平台的JWT令牌验证策略中API管理。

要获取JWKS URI和JWT颁发者，请使用上一步复制的目录id替换占位符{your\u Azure\u Active\u Directory\u id}，查询Azure Active Directory租户OpenID连接元数据url。https://login.microsoftonline.com/{your\u azure\u active\u directory\u id}/.well-known/openid配置，并从浏览器调用它。从OpenID connect metadata URL响应中，复制issuer和jwks\u uri字段的值。

导航到您的SAP云平台API管理的API门户服务。

导航到"开发"选项卡并选择API代理，大数据局，以便您已建模JWT令牌验证策略。请参阅本博客系列的第1部分，为您的API代理建模JWT验证策略。

从所选API代理详细信息视图中，单击"策略"打开"策略设计器"。

单击"策略设计器"上的"编辑"，进入编辑模式。

选择策略readJWKS policy并用OpenID connect metadata URL响应的jws\u uri元素替换URL元素。

选择策略verifyJWT policy并用OpenID connect metadata URL响应的issuer元素替换URL元素。

选择Update以保留所有策略更改

单击保存保存所有API代理更改。

在Azure Active Directory上设置OAuth应用程序，您可以使用该应用程序获取JWT令牌。这里介绍了为Azure Active Directory设置OAuth应用程序的详细信息。对于这个流的测试，使用了客户机凭证流，这仅仅是因为从Postman这样的测试控制台测试它更容易。连接到Azure Active Directory租户，注册OAuth应用程序，大数据定义，什么是云计算和大数据，输入API权限，理财返利平台，提供客户端机密。使用此OAuth客户端id和密码从Azure Active Directory令牌终结点获取访问令牌。详细信息见本文档。调用API代理终结点，企业开发软件，传入从Azure Active Directory接收的OAuth访问权（HTTP头中名为authorization），格式为Bearer{OAuth\u access\u token}。如果JWT令牌验证成功，将返回来自目标服务器的响应。

传递无效的访问令牌或空的访问令牌将导致HTTP状态代码设置为401的错误。