Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Ověřování pomocí služby App Service umožňuje řídit přístup k serveru MCP (Model Context Protocol) tím, že vyžaduje, aby se klienti MCP ověřili u zprostředkovatele identity. Aplikaci můžete nastavit tak, aby vyhovovala specifikaci autorizace serveru MCP podle pokynů v tomto článku.
Důležité
Autorizace serveru MCP definuje přístup k serveru a neposkytuje podrobné řízení jednotlivým nástrojům MCP ani jiným konstruktorům.
Konfigurace zprostředkovatele identity
Nakonfigurujte ověřování služby App Service pomocí zprostředkovatele identity. Registrace zprostředkovatele identity by měla být pro server MCP jedinečná. Nepoužívejte existující registraci z jiné součásti aplikace.
Při vytváření registrace si poznamenejte, jaké obory jsou definovány v registraci nebo v dokumentaci zprostředkovatele identity.
Konfigurace metadat chráněných prostředků (Preview)
Autorizace serveru MCP vyžaduje, aby hostitel serveru chránil metadata prostředků (PRM). Podpora PRM s ověřováním pomocí služby App Service je aktuálně ve verzi Preview.
Pokud chcete nakonfigurovat PRM pro server MCP, nastavte WEBSITE_AUTH_PRM_DEFAULT_WITH_SCOPES nastavení aplikace na čárkami oddělený seznam oborů pro vaši aplikaci. Rozsahy, které potřebujete, jsou buď definovány jako součást registrace vaší aplikace, nebo zdokumentované vaším zprostředkovatelem identity. Pokud jste například použili zprostředkovatele MICROSOFT Entra ID a umožnili službě App Service vytvořit registraci za vás, byl vytvořen výchozí rozsah api://<client-id>/user_impersonation . Nastavili byste WEBSITE_AUTH_PRM_DEFAULT_WITH_SCOPES na tuto hodnotu.
Důležité informace o klientech MCP
Aby se mohli přihlásit uživatelé, musí být klient MCP zaregistrovaný u zprostředkovatele identity. Někteří poskytovatelé podporují dynamickou registraci klienta (DCR), ale mnoho ne, včetně MICROSOFT Entra ID. Pokud dcR není k dispozici, musí být klient předem nakonfigurovaný s ID klienta. V dokumentaci ke klientovi nebo klientské sadě SDK se dozvíte, jak zadat ID klienta.
Vytváření souhlasu pro Entra ID
Pokud používáte MICROSOFT Entra ID, můžete zadat známé klientské aplikace a označit je jako předem autorizované pro přístup. pokud je to možné, doporučuje se předběžné ověřování. Bez předběžného ověření musí uživatelé nebo správce souhlasit s registrací serveru MCP a veškerými oprávněními, která vyžaduje.
V případě scénářů souhlasu uživatele zahrnuje vytváření souhlasu tím, že klient MCP použije interaktivní přihlášení k zobrazení výzvy k souhlasu. Někteří klienti MCP nemusí zobrazit interaktivní přihlášení. Pokud například vytváříte nástroj MCP, který bude používat GitHub Copilot v editoru Visual Studio Code, klient se pokusí použít kontext přihlášeného uživatele a nezobrazí výzvu k vyjádření souhlasu. V těchto případech se předvyvěřuje klientská aplikace, aby nedocházelo k problémům se souhlasem.
Pro účely vývoje/testování můžete vytvořit souhlas uživatele sami tím, že se přihlásíte k aplikaci přímo v prohlížeči. Přechod na <your-app-url>/.auth/login/aad inicializuje tok přihlášení a v případě potřeby vás vyzve k vyjádření souhlasu. Pak se můžete pokusit o přihlášení z jiného klienta.
Aspekty serveru MCP
Ověřování služby App Service ověřuje tokeny poskytované klienty MCP a před reagováním na žádost o inicializaci MCP použije všechny nakonfigurované zásady autorizace. Možná budete muset aktualizovat autorizační pravidla pro scénář MCP. Pokud jste například použili zprostředkovatele MICROSOFT Entra ID a nechali app Service vytvořit registraci za vás, výchozí zásada povoluje tokeny získané samotnou aplikací. Proto byste klienta MCP přidali do seznamu povolených aplikací v konfiguraci ověřování. Další informace najdete v tématu Použití předdefinovaných zásad autorizace.
Serverové architektury MCP často abstrahují přenos, ale v některých případech můžou vystavit základní kontext HTTP. Pokud je kontext HTTP dostupný, můžete získat přístup k deklaracím identity uživatelů a dalším ověřovacím informacím poskytovaným ověřováním služby App Service.
Upozornění
Token použitý pro autorizaci serveru MCP představuje přístup k vašemu serveru MCP, a ne k podřízeným prostředkům. Průchozí scénáře, kdy server předává token, vytváří ohrožení zabezpečení, takže se těmto vzorům vyhněte. Pokud potřebujete získat přístup k následným zdrojům, získejte nový token prostřednictvím toku jménem jiného nebo prostřednictvím jiného mechanismu pro explicitní delegování.
Související obsah
- Specifikace autorizace protokolu kontextu modelu
- Vazby kontextového protokolu modelu Azure Functions
- Integrace aplikace App Service jako serveru MCP (.NET)
- Integrace aplikace App Service jako serveru MCP (Java)
- Integrace aplikace App Service jako serveru MCP (Node.js)
- Integrujte aplikaci App Service jako server MCP (Python)