إعداد تسجيل الدخول الأحادي باستخدام معرف Microsoft Entra ل Spring Cloud Gateway ومدخل API
تنطبق هذه المقالة على:❌ Basic/Standard ✔️ Enterprise
توضح هذه المقالة كيفية تكوين تسجيل الدخول الأحادي (SSO) ل Spring Cloud Gateway أو مدخل API باستخدام معرف Microsoft Entra كموفر تعريف OpenID.
المتطلبات الأساسية
- مثيل خطة المؤسسة مع تمكين بوابة Spring Cloud أو مدخل واجهة برمجة التطبيقات. لمزيد من المعلومات، راجع التشغيل السريع: إنشاء التطبيقات ونشرها في Azure Spring Apps باستخدام خطة المؤسسة.
- أذونات كافية لإدارة تطبيقات Microsoft Entra.
لتمكين SSO ل Spring Cloud Gateway أو مدخل API، تحتاج إلى تكوين الخصائص الأربع التالية:
خاصية SSO | تكوين Microsoft Entra |
---|---|
clientId | راجع تسجيل التطبيق |
clientSecret | راجع إنشاء سر العميل |
النطاق | راجع تكوين النطاق |
issuerUri | راجع إنشاء مصدر URI |
ستقوم بتكوين الخصائص في معرف Microsoft Entra في الخطوات التالية.
تعيين نقطة نهاية لبوابة Spring Cloud أو مدخل واجهة برمجة التطبيقات
أولا، يجب الحصول على نقطة النهاية العامة المعينة لبوابة Spring Cloud ومدخل API باتباع الخطوات التالية:
- افتح مثيل خدمة خطة المؤسسة في مدخل Microsoft Azure.
- حدد Spring Cloud Gateway أو مدخل API ضمن مكونات VMware Tanzu في القائمة اليسرى.
- حدد نعم بجوار تعيين نقطة النهاية.
- انسخ عنوان URL لاستخدامه في القسم التالي من هذه المقالة.
إنشاء تسجيل تطبيق Microsoft Entra
سجل تطبيقك لإنشاء علاقة ثقة بين تطبيقك النظام الأساسي للهويات في Microsoft باستخدام الخطوات التالية:
- من شاشة Home، حدد Microsoft Entra ID من القائمة اليسرى.
- حدد App Registrations ضمن Manage، ثم حدد New registration.
- أدخل اسم عرض للتطبيق الخاص بك ضمن الاسم، ثم حدد نوع حساب للتسجيل ضمن أنواع الحسابات المدعومة.
- في Redirect URI (اختياري) حدد Web، ثم أدخل عنوان URL من القسم أعلاه في مربع النص. عنوان URI لإعادة التوجيه هو الموقع الذي يقوم فيه معرف Microsoft Entra بإعادة توجيه العميل وإرسال رموز الأمان المميزة بعد المصادقة.
- حدد Register لإنهاء تسجيل التطبيق.
عند انتهاء التسجيل، سترى معرف التطبيق (العميل) على شاشة نظرة عامة على صفحة تسجيلات التطبيق* .
إضافة عنوان URI لإعادة التوجيه بعد تسجيل التطبيق
يمكنك أيضا إضافة عناوين URL لإعادة التوجيه بعد تسجيل التطبيق باتباع الخطوات التالية:
- من نظرة عامة على التطبيق الخاص بك، ضمن إدارة في القائمة اليسرى، حدد المصادقة.
- حدد Web، ثم حدد Add URI ضمن Redirect URIs.
- أضف عنوان URI جديد لإعادة التوجيه، ثم حدد حفظ.
لمزيد من المعلومات حول تسجيل التطبيق، راجع التشغيل السريع: تسجيل تطبيق باستخدام النظام الأساسي للهويات في Microsoft.
إضافة سر عميل
يستخدم التطبيق سر العميل لمصادقة نفسه في سير عمل SSO. يمكنك إضافة سر عميل باستخدام الخطوات التالية:
- من نظرة عامة على التطبيق الخاص بك، ضمن Manage في القائمة اليسرى، حدد Certificates & secrets.
- حدد Client secrets، ثم حدد New client secret.
- أدخل وصفا لسر العميل، ثم قم بتعيين تاريخ انتهاء الصلاحية.
- حدد إضافة.
تحذير
تذكر حفظ سر العميل في مكان آمن. لا يمكنك استرداده بعد مغادرة هذه الصفحة. يجب توفير سر العميل مع معرف العميل عند تسجيل الدخول كتطبيق.
تكوين النطاق
scope
خاصية SSO هي قائمة النطاقات التي سيتم تضمينها في رموز هوية JWT المميزة. غالبا ما يشار إليها باسم الأذونات. يدعم النظام الأساسي للهوية العديد من نطاقات الاتصال OpenID، مثل openid
و email
و.profile
لمزيد من المعلومات، راجع قسم نطاقات الاتصال OpenID في النطاقات والأذونات في النظام الأساسي للهويات في Microsoft.
تكوين URI المصدر
URI المصدر هو URI الذي تم تأكيده كمعرف المصدر الخاص به. على سبيل المثال، إذا كان المصدر-uri المقدم هو https://example.com
، فسيتم إجراء طلب تكوين موفر OpenID إلى https://example.com/.well-known/openid-configuration
.
عنوان URI المصدر لمعرف Microsoft Entra يشبه <authentication-endpoint>/<Your-TenantID>/v2.0
. استبدل <authentication-endpoint>
بنقطة نهاية المصادقة لبيئة السحابة الخاصة بك (على سبيل المثال، https://login.microsoftonline.com
ل Azure العمومي)، واستبدل <Your-TenantID>
بمعرف الدليل (المستأجر) حيث تم تسجيل التطبيق.
تكوين تسجيل الدخول الأحادي
بعد تكوين تطبيق Microsoft Entra، يمكنك إعداد خصائص SSO ل Spring Cloud Gateway أو مدخل API باتباع الخطوات التالية:
- حدد Spring Cloud Gateway أو مدخل API ضمن مكونات VMware Tanzu في القائمة اليسرى، ثم حدد Configuration.
Scope
أدخل وClient Id
Client Secret
و وIssuer URI
في الحقول المناسبة. فصل نطاقات متعددة باستخدام فاصلة.- حدد Save لتمكين تكوين SSO.
إشعار
بعد تكوين خصائص SSO، تذكر تمكين SSO لمسارات Spring Cloud Gateway عن طريق إعداد ssoEnabled=true
. لمزيد من المعلومات، راجع تكوين المسار.