Scénáře a doporučení pro ověřování
Pokud máte webovou aplikaci nebo rozhraní API spuštěné ve službě Aplikace Azure Service, můžete k ní omezit přístup na základě identity uživatelů nebo aplikací, které ji požadují. App Service nabízí několik řešení ověřování, která vám pomůžou dosáhnout tohoto cíle. V tomto článku se dozvíte o různých možnostech ověřování, jejich výhodách a nevýhodách a o řešení ověřování, které se má použít pro konkrétní scénáře.
Řešení ověřování
- Aplikace Azure Integrované ověřování služby – Umožňuje přihlašovat uživatele a přistupovat k datům tak, že do webové aplikace, rozhraní RESTful API nebo mobilního back-endu napíšete minimální nebo žádný kód. Je integrovaný přímo do platformy a nevyžaduje žádný konkrétní jazyk, knihovnu, znalosti zabezpečení ani žádný kód, který se má použít.
- Microsoft Authentication Library (MSAL) – Umožňuje vývojářům získávat tokeny zabezpečení z platformy Microsoft Identity Platform k ověřování uživatelů a přístupu k zabezpečeným webovým rozhraním API. K dispozici pro více podporovaných platforem a architektur, jedná se o knihovny pro obecné účely, které lze použít v různých hostovaných prostředích. Vývojáři se můžou také integrovat s několika poskytovateli přihlašování, jako je Microsoft Entra, Facebook, Google, X.
- Microsoft.Identity.Web – zabalení knihovny na vyšší úrovni MSAL.NET, poskytuje sadu abstrakcí ASP.NET Core, které zjednodušují přidávání podpory ověřování do webových aplikací a webových rozhraní API integrovaných s platformou Microsoft Identity Platform. Poskytuje jednoduchou vrstvu pohodlí rozhraní API, která spojuje ASP.NET Core, jeho middleware pro ověřování a MSAL.NET. Tuto knihovnu můžete použít v aplikacích v různých hostovaných prostředích. Můžete se integrovat s několika poskytovateli přihlašování, jako je Microsoft Entra, Facebook, Google, X.
Doporučení pro scénáře
Následující tabulka uvádí každé řešení ověřování a některé důležité faktory pro použití.
| Metoda ověřování | Vhodné použití služby |
|---|---|
| Integrované ověřování služby App Service | * Chcete méně kódu vlastnit a spravovat. * Jazyk a sady SDK vaší aplikace neposkytují přihlášení nebo autorizaci uživatele. * Nemáte možnost upravovat kód aplikace (například při migraci starších aplikací). * Potřebujete zpracovávat ověřování prostřednictvím konfigurace, nikoli kódu. * Musíte se přihlásit k externím nebo sociálním uživatelům. |
| Microsoft Authentication Library (MSAL) | * Potřebujete řešení kódu v jednom z několika různých jazyků. * Potřebujete přidat vlastní autorizační logiku. * Potřebujete podporovat přírůstkový souhlas. * Potřebujete informace o přihlášeného uživatele v kódu. * Musíte se přihlásit k externím nebo sociálním uživatelům. * Vaše aplikace potřebuje zpracovat vypršení platnosti přístupového tokenu, aniž by se uživatel znovu přihlásil. |
| Microsoft.Identity.Web | * Máte aplikaci ASP.NET Core. * Potřebujete podporu jednotného přihlašování v integrovaném vývojovém prostředí (IDE) během místního vývoje. * Potřebujete přidat vlastní autorizační logiku. * Potřebujete podporovat přírůstkový souhlas. * Ve webové aplikaci potřebujete podmíněný přístup. * Potřebujete informace o přihlášeného uživatele v kódu. * Musíte se přihlásit k externím nebo sociálním uživatelům. * Vaše aplikace potřebuje zpracovat vypršení platnosti přístupového tokenu, aniž by se uživatel znovu přihlásil. |
Následující tabulka uvádí scénáře ověřování a řešení ověřování, která byste použili.
| Scénář | Integrované ověřování ve službě App Service | Identity a ověřování Microsoftu | Microsoft.Identity.Web |
|---|---|---|---|
| Potřebujete rychlý a jednoduchý způsob, jak omezit přístup uživatelům ve vaší organizaci? | ✅ | ❌ | ❌ |
| Nejde upravit kód aplikace (scénář migrace aplikace)? | ✅ | ❌ | ❌ |
| Jazyk a knihovny vaší aplikace podporují přihlašování a autorizaci uživatelů? | ❌ | ✅ | ✅ |
| I když můžete použít řešení kódu, raději byste knihovny nepoužít ? Nechcete náklady na údržbu? | ✅ | ❌ | ❌ |
| Potřebuje vaše webová aplikace poskytnout přírůstkový souhlas? | ❌ | ✅ | ✅ |
| Potřebujete podmíněný přístup ve webové aplikaci? | ❌ | ❌ | ✅ |
| Vaše aplikace musí zpracovat vypršení platnosti přístupového tokenu, aniž by se uživatel znovu přihlásil (použijte obnovovací token)? | ✅ | ✅ | ✅ |
| Potřebujete vlastní autorizační logiku nebo informace o přihlášeného uživatele? | ❌ | ✅ | ✅ |
| Potřebujete se přihlásit uživatele z externích nebo zprostředkovatelů sociálních identit? | ✅ | ✅ | ✅ |
| Máte aplikaci ASP.NET Core? | ✅ | ❌ | ✅ |
| Máte jednu stránkovou aplikaci nebo statickou webovou aplikaci? | ✅ | ✅ | ✅ |
| Chcete integraci sady Visual Studio? | ❌ | ❌ | ✅ |
| Potřebujete podporu jednotného přihlašování v integrovaném vývojovém prostředí (IDE) během místního vývoje? | ❌ | ❌ | ✅ |
Další kroky
Pokud chcete začít s integrovaným ověřováním služby App Service, přečtěte si:
Pokud chcete začít používat knihovnu Microsoft Authentication Library (MSAL), přečtěte si:
- Přidání přihlášení pomocí Microsoftu do webové aplikace
- Povolit pouze ověřenému uživateli přístup k webovému rozhraní API
- Přihlášení uživatelů k jednostránkové aplikaci (SPA)
Pokud chcete začít používat Microsoft.Identity.Web, přečtěte si:
- Přihlášení uživatelů k webové aplikaci
- Ochrana webového rozhraní API
- Přihlášení uživatelů k aplikaci Blazor Server
Další informace o integrovaném ověřování a autorizaci služby App Service