Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
- Microsoft Entra
- X
- Poskytovatel OpenID Connect
- Přihlášení pomocí Apple (náhled)
V tomto článku se dozvíte, jak nakonfigurovat Azure App Service nebo Azure Functions tak, aby používaly vlastního zprostředkovatele ověřování, který dodržuje specifikaci OpenID Connect (OIDC). OIDC je oborový standard, který používá mnoho zprostředkovatelů identity (IDPs). Abyste mohli používat zprostředkovatele identity OIDC, nemusíte rozumět podrobnostem specifikace vaší aplikace.
Aplikaci můžete nakonfigurovat tak, aby používala jednoho nebo více zprostředkovatelů OIDC. Každý zprostředkovatel musí mít v konfiguraci jedinečný alfanumerický název. Jako výchozí cíl přesměrování může sloužit jenom jeden poskytovatel.
Zaregistrujte svou aplikaci u poskytovatele identity
Váš poskytovatel vyžaduje, abyste s ní zaregistrovali podrobnosti o vaší aplikaci. Jedním z těchto kroků je určení přesměrování URI, které má formát <app-url>/.auth/login/<provider-name>/callback. Každý zprostředkovatel identity by měl poskytnout další pokyny k dokončení kroků. Hodnota <provider-name> odkazuje na popisný název, který dáte názvu zprostředkovatele OpenID v Azure.
Poznámka:
Někteří poskytovatelé můžou pro svoji konfiguraci vyžadovat další kroky a použít hodnoty, které poskytují. Apple například poskytuje privátní klíč, který se nepoužívá jako tajný klíč klienta OIDC. Použijete ho k vytvoření webového tokenu JSON (JWT). Webový token použijete jako tajný klíč, který zadáte v konfiguraci aplikace. Další informace naleznete v tématu Vytvoření tajného klíče klienta.
Potřebujete shromáždit ID klienta a tajný klíč klienta pro vaši aplikaci. Klientské tajemství je důležitým bezpečnostním údajem. Tento tajný kód nesdílejte s kýmkoli ani ho nedistribuujte v klientské aplikaci.
Poznámka:
Tajný klíč klienta je potřeba poskytnout konfiguraci pouze tehdy, pokud chcete získat přístupové tokeny pro uživatele prostřednictvím interaktivního přihlašovacího procesu využívajícího autorizaci pomocí kódu. Pokud se nejedná o váš případ, není vyžadováno shromažďování tajné informace.
Potřebujete také metadata OIDC pro zprostředkovatele. Tato metadata se často zveřejňují v dokumentu s metadaty konfigurace, který je tvořen URL vystavovatele zprostředkovatele s příponou /.well-known/openid-configuration. Získejte tuto adresu URL konfigurace.
Pokud nemůžete použít dokument metadat konfigurace, získejte následující hodnoty samostatně:
- Adresa URL vystavitele (někdy zobrazená jako
issuer) -
Koncový bod autorizace OAuth 2.0 (někdy se zobrazuje jako
authorization_endpoint) -
Koncový bod tokenu OAuth 2.0 (někdy se zobrazuje jako
token_endpoint) - Adresa URL dokumentu sady webových klíčů JSON OAuth 2.0 (někdy se zobrazuje jako
jwks_uri)
Přidání informací o poskytovateli do aplikace
Pokud chcete přidat informace o poskytovateli OpenID Connect, postupujte takto.
Přihlaste se k webu Azure Portal a přejděte do aplikace.
V nabídce vlevo vyberte Nastavení>ověřování. Pak vyberte Přidat zprostředkovatele identity.
Jako zprostředkovatele identity vyberte OpenID Connect.
Jako název zprostředkovatele OpenID zadejte jedinečný alfanumerický název, který jste vybrali dříve.
Pokud máte adresu URL dokumentu metadat od zprostředkovatele identity, zadejte tuto hodnotu pro adresu URL metadat.
V opačném případě vyberte Zadat koncové body samostatně. Každou adresu URL zprostředkovatele identity vložte do příslušného pole.
Zadejte hodnoty, které jste shromáždili dříve pro ID klienta. Pokud se tajný klíč klienta také shromáždil, poskytněte ho jako součást procesu konfigurace.
Zadejte název nastavení aplikace pro tajný klíč klienta. Tajný klíč klienta je uložený jako nastavení aplikace, aby se zajistilo, že se tajné kódy ukládají zabezpečeným způsobem. Pokud chcete tajný klíč spravovat ve službě Azure Key Vault, aktualizujte toto nastavení později tak, aby používalo odkazy na službu Azure Key Vault.
Vyberte Přidat pro dokončení nastavení zprostředkovatele identity.
Poznámka:
Název zprostředkovatele OpenID nemůže obsahovat pomlčka (-), protože se na základě tohoto názvu vytvoří nastavení aplikace. Nastavení aplikace nepodporuje pomlčky. Místo toho použijte podtržítko (_).
Vyžaduje také, aby aud obor ve vašem tokenu byl stejný jako ID klienta , jak je nakonfigurované výše. V současné době není možné konfigurovat povolené cílové skupiny pro tohoto poskytovatele.
Azure vyžaduje openid, profile a email rozsahy. Ujistěte se, že u poskytovatele identity nakonfigurujete registraci aplikace alespoň s těmito oprávněními.