Konfigurace aplikace App Service nebo Azure Functions pro přihlášení pomocí zprostředkovatele OpenID Připojení

  • Článek

V tomto článku se dozvíte, jak nakonfigurovat službu Aplikace Azure nebo Azure Functions tak, aby používaly vlastního zprostředkovatele ověřování, který dodržuje specifikaci OpenID Připojení. OpenID Připojení (OIDC) je oborový standard používaný mnoha zprostředkovateli identity (IDP). Abyste mohli aplikaci nakonfigurovat tak, aby používala odpovídající protokol IDP, nemusíte rozumět podrobnostem specifikace.

Aplikaci můžete nakonfigurovat tak, aby používala jednoho nebo více zprostředkovatelů OIDC. Každý z nich musí mít v konfiguraci jedinečný alfanumerický název a jako výchozí cíl přesměrování může sloužit jenom jeden.

Registrace aplikace u zprostředkovatele identity

Váš poskytovatel bude vyžadovat, abyste si s ní zaregistrovali podrobnosti o vaší aplikaci. Jedním z těchto kroků je zadání identifikátoru URI přesměrování. Tento identifikátor URI přesměrování bude ve formuláři <app-url>/.auth/login/<provider-name>/callback. Každý zprostředkovatel identity by měl poskytnout další pokyny k provedení těchto kroků. <provider-name> bude odkazovat na popisný název, který poskytnete názvu zprostředkovatele OpenID v Azure.

Poznámka:

Někteří poskytovatelé můžou pro konfiguraci vyžadovat další kroky a způsob použití hodnot, které poskytují. Například Apple poskytuje privátní klíč, který se nepoužívá jako tajný klíč klienta OIDC, a místo toho ho musíte použít k vytvoření JWT, který je považován za tajný klíč, který zadáte v konfiguraci aplikace (viz část Vytvoření tajného klíče klienta v dokumentaci k Přihlášení pomocí Apple).

Budete muset shromáždit ID klienta a tajný klíč klienta pro vaši aplikaci.

Důležité

Tajný klíč klienta je důležitými přihlašovacími údaji zabezpečení. Tento tajný kód nesdílejte s kýmkoli ani ho nedistribuujte v rámci klientské aplikace.

Kromě toho budete potřebovat metadata OpenID Připojení poskytovatele. To se často vystavuje prostřednictvím dokumentu metadat konfigurace, což je přípona adresy URL vystavitele poskytovatele s příponou /.well-known/openid-configuration. Shromážděte tuto adresu URL konfigurace.

Pokud nemůžete použít dokument metadat konfigurace, budete muset shromáždit následující hodnoty samostatně:

Přidání informací o poskytovateli do aplikace

  1. Přihlaste se k webu Azure Portal a přejděte do aplikace.
  2. V nabídce vlevo vyberte Ověřování . Vyberte Přidat zprostředkovatele identity.
  3. V rozevíracím seznamu zprostředkovatele identity vyberte OpenID Připojení.
  4. Zadejte jedinečný alfanumerický název vybraný dříve pro název zprostředkovatele OpenID.
  5. Pokud máte adresu URL dokumentu metadat od zprostředkovatele identity, zadejte tuto hodnotu pro adresu URL metadat. V opačném případě vyberte možnost Zadat koncové body samostatně a vložte každou adresu URL shromážděnou od zprostředkovatele identity do příslušného pole.
  6. Do příslušných polí zadejte dříve shromážděné ID klienta a tajný klíč klienta.
  7. Zadejte název nastavení aplikace pro tajný klíč klienta. Tajný klíč klienta se uloží jako nastavení aplikace, aby se zajistilo, že se tajné kódy ukládají zabezpečeným způsobem. Pokud chcete spravovat tajný klíč ve službě Azure Key Vault, můžete toto nastavení později aktualizovat tak, aby používalo odkazy na službu Key Vault.
  8. Stisknutím tlačítka Přidat dokončete nastavení zprostředkovatele identity.

Poznámka:

Název zprostředkovatele OpenID nemůže obsahovat symboly jako -, protože se na základě toho vytvoří nastavení aplikace a nepodporuje ho. Místo toho použijte "_".

Poznámka:

Azure vyžaduje obory "openid", "profile" a "email". Ujistěte se, že jste ve zprostředkovateli ID nakonfigurovali registraci aplikace s alespoň těmito obory.

Další kroky