Povolení ověřování a autorizace v Azure Container Apps pomocí ID Microsoft Entra

Tento článek popisuje, jak nakonfigurovat ověřování pro Azure Container Apps tak, aby se vaše aplikace přihlašuje uživatele pomocí platformy Microsoft Identity Platform jako zprostředkovatele ověřování.

Ověřování Container Apps může automaticky vytvořit registraci aplikace na platformě Microsoft Identity Platform. Můžete také použít registraci, kterou vy nebo správce adresáře vytváříte samostatně.

Možnost 1: Automatické vytvoření nové registrace aplikace

Tato možnost je navržená tak, aby umožňovala jednoduché ověřování a vyžaduje jenom několik kroků.

  1. Přihlaste se do Azure portálu a přejděte k vaší aplikaci.

  2. V levém podokně vyberte Zabezpečení>Ověřování Vyberte Přidat poskytovatele identity.

  3. V seznamu zprostředkovatelů identity vyberte Microsoft . Ve výchozím nastavení je vybraná možnost vytvořit novou registraci. Můžete změnit název registrace nebo podporované typy účtů.

    Tajný klíč klienta se vytvoří a uloží jako tajný kód v aplikaci kontejneru.

  4. V seznamu vypršení platnosti tajného klíče klienta vyberte datum vypršení platnosti.

  5. Pokud pro tuto aplikaci konfigurujete prvního zprostředkovatele identity, zobrazí se část Nastavení ověřování kontejnerové aplikace . Jinak přejdete k dalšímu kroku.

    Tyto možnosti určují, jak vaše aplikace reaguje na neověřené požadavky. Výchozí výběry přesměrují všechny požadavky na přihlášení pomocí tohoto nového poskytovatele. Toto chování teď můžete přizpůsobit nebo upravit tato nastavení později v hlavním podokně Ověřování tak, že vyberete Upravit vedle nastavení ověřování. Další informace o těchto možnostech naleznete v Tok autentizace.

  6. (Volitelné) Vyberte Další: Oprávnění a přidejte všechny obory, které aplikace potřebuje. Obory se přidají do registrace aplikace, ale můžete je také později změnit.

  7. Vyberte Přidat.

Teď jste připraveni k ověřování ve vaší aplikaci použít platformu Microsoft Identity Platform. Poskytovatel je uvedený v podokně Ověřování . Odtud můžete tuto konfiguraci poskytovatele upravit nebo odstranit.

Možnost 2: Použití existující registrace vytvořené samostatně

Aplikaci můžete také ručně zaregistrovat pro platformu Microsoft Identity Platform, přizpůsobit registraci a nakonfigurovat ověřování container Apps s podrobnostmi o registraci. Tento přístup je užitečný, když chcete použít registraci aplikace z tenanta Microsoft Entra, který není ten, ve kterém je aplikace definovaná.

Vytvořte registraci aplikace v Microsoft Entra ID pro vaši kontejnerovou aplikaci

Nejprve vytvoříte registraci aplikace. Jak to uděláte, shromážděte následující informace, které budete potřebovat později při konfiguraci ověřování v aplikaci kontejneru:

  • ID klienta
  • ID nájemce
  • Tajný klíč klienta (volitelné)
  • URI identifikátor aplikace

Pokud chcete aplikaci zaregistrovat, proveďte následující kroky:

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte Container Apps a pak vyberte svou aplikaci. V podokně Přehled si poznamenejte adresu URL aplikace. Použijete ji ke konfiguraci registrace aplikace Microsoft Entra.

  3. Vyberte Domů pro návrat na domovskou stránku. Vyhledejte a vyberte Microsoft Entra ID.

  4. V podokně Přehled vyberte Přidat a pak vyberte Registrace aplikace.

    1. V podokně Registrace aplikace zadejte název registrace aplikace.

    2. V části Identifikátor URI přesměrování vyberte Web a zadejte následující příkaz. Nahraďte \<APP_URL\> adresou URL aplikace, kterou jste si poznamenali dříve.

      <APP_URL>/.auth/login/aad/callback

      Příklad: https://<CONTAINER_APP_NAME>.<ENVIRONMENT_UNIQUE_ID>.<REGION_NAME>.azurecontainerapps.io/.auth/login/aad/callback

    3. Vyberte Zaregistrovat.

    4. V části Spravovat v levém podokně vyberte Ověřování (Preview).

    5. Na kartě Nastavení vyberte tokeny ID (používané pro implicitní a hybridní toky) a povolte přihlašování uživatelů OpenID Connect z Container Apps. Vyberte Uložit.

  5. Přejděte na novou registraci aplikace.

    1. V podokně Přehled zkopírujte ID aplikace (klienta) a ID adresáře (tenanta) pro pozdější použití.
    2. (Volitelné) Pokud jste do registrace aplikace ještě nepřidali identifikátor URI přesměrování, můžete to udělat teď.

      1. V části Spravovat v levém podokně vyberte Ověřování (Preview).

      2. V podokně Ověřování (Preview) vyberte Přidat přesměrování URI.

      3. V podokně Vybrat platformu pro přidání identifikátoru URI přesměrování vyberte Web.

      4. V podokně Přidat identifikátor URI přesměrování zadejte do pole Identifikátor URI přesměrování následující. Nahraďte \<APP_URL\> adresou URL aplikace, kterou jste si poznamenali dříve.

        <APP_URL>/.auth/login/aad/callback

        Příklad: https://<CONTAINER_APP_NAME>.<HOSTNAME>.<LOCATION>.azurecontainerapps.io/.auth/login/aad/callback

      5. Vyberte Konfigurovat.

    3. (Volitelné) V části Spravovat v levém podokně vyberte Značka a vlastnosti. Do pole Adresa URL domovské stránky zadejte adresu URL vaší aplikace kontejneru a pak vyberte Uložit.
    4. V části Spravovat v levém podokně vyberte Zveřejnit rozhraní API.

      1. Vyberte Přidat vedle identifikátoru URI ID aplikace.

        Identifikátor URI ID aplikace jednoznačně identifikuje vaši aplikaci, když se používá jako prostředek. Umožňuje požadovaným tokenům udělit přístup. Hodnota se také používá jako předpona pro obory, které vytvoříte.

        Pro aplikaci s jedním tenantem můžete použít výchozí hodnotu, která je ve formuláři api://<APPLICATION_CLIENT_ID>. Můžete také zadat čitelnější identifikátor URI, například https://contoso.com/apina základě jedné z ověřených domén pro vašeho tenanta. U víceklientských aplikací musíte zadat vlastní identifikátor URI. Další informace o přijatých formátech identifikátorů URI ID aplikace najdete v tématu Osvědčené postupy zabezpečení pro vlastnosti aplikace v Microsoft Entra ID.

        Hodnota se automaticky uloží.

      2. Vyberte Přidat rozsah.

      3. V podokně Přidat obor je identifikátor URI ID aplikace hodnota, kterou jste nastavili v předchozím kroku.

      4. Vyberte Uložit a pokračovat.

      5. Do pole Název oboru zadejte user_impersonation.

      6. Zadejte zobrazovaný název souhlasu správce a popis souhlasu správce, který chcete, aby správci viděli na stránce souhlasu. Příkladem zobrazovaného názvu souhlasu je Přístup <název-aplikace>.

      7. Vyberte Přidat rozsah.

    5. V části Spravovat v levém podokně vyberte Certifikáty a tajné kódy.
      1. V podokně Certifikáty a tajné kódy vyberte Tajné kódy klienta.
      2. Vyberte Nový tajný klíč klienta.
      3. Zadejte popis a potom v části Konec platnosti vyberte datum vypršení platnosti.
      4. Vyberte Přidat.
      5. Zkopírujte hodnotu tajného klíče klienta zobrazenou na stránce. Stránka vám to znovu neukáže.

Povolte Microsoft Entra ID pro vaši kontejnerovou aplikaci

  1. Přihlaste se do Azure portálu a přejděte k vaší aplikaci.

  2. V levém podokně v části Zabezpečení vyberte Ověřování. Vyberte Přidat zprostředkovatele.

  3. V seznamu zprostředkovatelů identity vyberte Microsoft .

  4. U typu registrace aplikace můžete v tomto adresáři vybrat možnost Vybrat existující registraci aplikace, která automaticky shromáždí potřebné informace o aplikaci. Pokud je vaše registrace z jiného tenanta nebo nemáte oprávnění k zobrazení objektu registrace, vyberte Zadat podrobnosti o existující registraci aplikace. Pro tuto možnost musíte zadat následující podrobnosti konfigurace:

    Varování

    Pokud je to možné, vyhněte se použití implicitního procesu udělení. Ve většině scénářů jsou k dispozici a doporučeny bezpečnější alternativy. Některé konfigurace tohoto toku vyžadují vysokou míru důvěryhodnosti v aplikaci a nesou rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky nejsou přijatelné. Další informace najdete v obavách o zabezpečení spojených s implicitním udělovacím tokem.

    Setting Popis
    ID aplikace (klienta) Použijte ID registrace (klientské) aplikace.
    Tajný klíč klienta Použijte tajný klíč klienta, který jste vygenerovali v registraci aplikace. Klientská tajemství používají hybridní tok a aplikace vrací přístupové a obnovovací tokeny. Pokud tajný klíč klienta není nastavený, použije se implicitní tok a vrátí se pouze token ID. Poskytovatel odešle tokeny a uloží se do úložiště tokenů EasyAuth.
    Adresa URL vystavitele Použijte <AUTHENTICATION-ENDPOINT>/<TENANT-ID>/v2.0. Nahraďte <OVĚŘOVACÍ KONCOVÝ BOD>ověřovacím koncovým bodem pro vaše cloudové prostředí (například "https://login.microsoftonline.com"" pro globální Azure). Nahraďte <ID tenanta>IDem adresáře (tenantu), ve kterém byla vytvořena registrace aplikace. Tato hodnota se používá k přesměrování uživatelů do správného tenanta Microsoft Entra a ke stažení metadat k určení odpovídajících podpisových klíčů tokenu a hodnoty deklarace identity vystavitele tokenů, například. Pro aplikace, které používají Azure Active Directory v1, vynecháte /v2.0 v adrese URL.
    Povolené cílové skupiny tokenů Nakonfigurované ID aplikace (klienta) se vždy implicitně považuje za povolenou cílovou skupinu. Pokud tato hodnota odkazuje na cloudovou nebo serverovou aplikaci a chcete přijmout ověřovací tokeny z aplikace klientského kontejneru (ověřovací token je možné načíst v X-MS-TOKEN-AAD-ID-TOKEN hlavičce), přidejte sem ID aplikace (klienta).

    Tajný klíč klienta je uložený jako tajný kód v aplikaci kontejneru.

  5. Pokud je to první zprostředkovatel identity nakonfigurovaný pro aplikaci, zobrazí se část nastavení ověřování Container Apps . Jinak přejdete k dalšímu kroku.

    Tyto možnosti určují, jak vaše aplikace reaguje na neověřené požadavky. Výchozí výběry přesměrují všechny požadavky na přihlášení pomocí tohoto nového poskytovatele. Toto chování teď můžete změnit nebo toto nastavení upravit později v hlavním podokně Ověřování tak, že vyberete Upravit vedle nastavení ověřování. Další informace o těchto možnostech naleznete v Tok autentizace.

  6. Vyberte Přidat.

Teď jste připraveni k ověřování ve vaší aplikaci použít platformu Microsoft Identity Platform. Poskytovatel je uvedený v podokně Ověřování . Odtud můžete tuto konfiguraci poskytovatele upravit nebo odstranit.

Konfigurace klientských aplikací pro přístup k kontejnerové aplikaci

V předchozí části jste zaregistrovali aplikaci kontejneru k ověřování uživatelů. V této části zaregistrujete nativní klientské nebo démonické aplikace. Pak můžou požádat o přístup k rozhraním API vystaveným vaší aplikací kontejneru jménem uživatelů nebo samotných. Pokud chcete pouze ověřovat uživatele, nemusíte provádět kroky v této části.

Nativní klientská aplikace

Nativní klienty můžete zaregistrovat a požádat o přístup k rozhraním API vaší aplikace kontejneru jménem přihlášeného uživatele.

  1. Na webu Azure Portal vyhledejte a vyberte ID Microsoft Entra.

  2. V podokně Přehled vyberte Přidat>registraci aplikace.

  3. V podokně Registrace aplikace zadejte název registrace aplikace.

  4. V části Identifikátor URI přesměrování vyberte Veřejný klient (mobilní & desktop) a zadejte adresu URL . Například https://<hostname>.azurecontainerapps.io/.auth/login/aad/callback.

    Poznámka:

    Pro aplikaci Microsoft Store použijte package SID místo jako URI.

  5. Vyberte Zaregistrovat.

  6. Po vytvoření registrace aplikace zkopírujte hodnotu ID aplikace (klienta).

  7. V části Spravovat v levém podokně vyberte oprávnění rozhraní API. Vyberte Přidat oprávnění>Moje rozhraní API.

  8. Vyberte registraci aplikace, kterou jste vytvořili dříve pro vaši aplikaci kontejneru. Pokud nevidíte registraci aplikace, ujistěte se, že jste přidali obor user_impersonation v části Vytvoření registrace aplikace v Microsoft Entra ID pro vaši kontejnerovou aplikaci.

  9. V části Delegovaná oprávnění vyberte user_impersonation a pak vyberte Přidat oprávnění.

Klientská aplikace démona (volání mezi službami)

Vaše aplikace může získat token pro volání webového rozhraní API hostovaného v aplikaci kontejneru jménem samotného (nikoli jménem uživatele). Tento scénář je užitečný pro neinteraktivní aplikace démona, které provádějí úlohy bez přihlášeného uživatele. Používá standardní poskytnutí přihlašovacích údajů klienta OAuth 2.0.

  1. Na webu Azure Portal vyhledejte a vyberte ID Microsoft Entra.
  2. V podokně Přehled vyberte Přidat>registraci aplikace.
  3. V podokně Registrace aplikace zadejte název pro registraci vaší aplikace démona.
  4. U démonové aplikace nepotřebujete identifikátor URI přesměrování, takže toto pole můžete ponechat prázdné.
  5. Vyberte Zaregistrovat.
  6. Po vytvoření registrace aplikace zkopírujte hodnotu ID aplikace (klienta).
  7. V levém podokně v části Spravovat vyberte Certifikáty a tajné kódy.
  8. V podokně Certifikáty a tajné kódy vyberte Nový tajný klíč klienta.
  9. V podokně Přidat tajný kód klienta vyberte Přidat. Zkopírujte hodnotu tajného klíče klienta zobrazenou na stránce. Už se nezobrazuje.

Teď můžete požádat o přístupový token pomocí ID klienta a tajného klíče klienta nastavením resource parametru na identifikátor URI ID aplikace cílové aplikace. Výsledný přístupový token pak můžete cílové aplikaci prezentovat pomocí standardní autorizační hlavičky OAuth 2.0. Ověřování a autorizace Container Apps ověřuje a používá token tak, aby naznačilo, že volající (v tomto případě aplikace, nikoli uživatel) je ověřený.

Tento proces umožňuje libovolné klientské aplikaci ve vašem tenantovi Microsoft Entra požádat o přístupový token a ověřit ho v cílové aplikaci. Pokud chcete také vynutit autorizaci tak, aby umožňovala pouze určité klientské aplikace, musíte upravit konfiguraci.

  1. Definujte roli aplikace v manifestu registrace aplikace, která představuje aplikaci kontejneru, kterou chcete chránit.
  2. V registraci aplikace, která představuje klienta, který je potřeba autorizovat, vyberte oprávnění> rozhraní APIPřidat oprávnění.
  3. V podokně Oprávnění rozhraní API požadavku vyberte Moje rozhraní API.
  4. Vyberte registraci aplikace, kterou jste vytvořili dříve. Pokud registraci aplikace nevidíte, nezapomeňte přidat roli aplikace.
  5. V části Oprávnění aplikace vyberte dříve vytvořenou roli aplikace a pak vyberte Přidat oprávnění.
  6. Ujistěte se, že vyberete Udělte souhlas správce k autorizaci klientské aplikace k žádosti o oprávnění.
  7. Stejně jako v předchozím scénáři (před přidáním všech rolí) teď můžete požádat o přístupový token pro stejný cíl resource. Přístupový token obsahuje roles claim s rolemi aplikace, které jsou schváleny pro klientskou aplikaci.
  8. V cílovém kódu Container Apps ověřte, že v tokenu jsou nyní přítomny očekávané role. Ověřovací vrstva Container Apps neprovádí ověřovací kroky. Další informace najdete v tématu Deklarace identity uživatelů accessu.

Práce s ověřenými uživateli

Podrobnosti o práci s ověřenými uživateli najdete v následujících zdrojích informací.

Další krok

Přehled ověřování a autorizace

  • Last updated on