Konfigurace aplikace App Service nebo Azure Functions pro přihlášení pomocí zprostředkovatele OpenID Connect
V tomto článku se dozvíte, jak nakonfigurovat službu Aplikace Azure nebo Azure Functions tak, aby používaly vlastního zprostředkovatele ověřování, který dodržuje specifikaci OpenID Connect. OpenID Connect (OIDC) je oborový standard používaný mnoha zprostředkovateli identity (IDPs). Abyste mohli aplikaci nakonfigurovat tak, aby používala odpovídající protokol IDP, nemusíte rozumět podrobnostem specifikace.
Aplikaci můžete nakonfigurovat tak, aby používala jednoho nebo více zprostředkovatelů OIDC. Každý z nich musí mít v konfiguraci jedinečný alfanumerický název a jako výchozí cíl přesměrování může sloužit jenom jeden.
Registrace aplikace u zprostředkovatele identity
Váš poskytovatel bude vyžadovat, abyste si s ní zaregistrovali podrobnosti o vaší aplikaci. Jedním z těchto kroků je zadání identifikátoru URI přesměrování. Tento identifikátor URI přesměrování bude ve formuláři <app-url>/.auth/login/<provider-name>/callback
. Každý zprostředkovatel identity by měl poskytnout další pokyny k provedení těchto kroků. <provider-name>
bude odkazovat na popisný název, který poskytnete názvu zprostředkovatele OpenID v Azure.
Poznámka:
Někteří poskytovatelé můžou pro konfiguraci vyžadovat další kroky a způsob použití hodnot, které poskytují. Například Apple poskytuje privátní klíč, který se nepoužívá jako tajný klíč klienta OIDC, a místo toho ho musíte použít k vytvoření JWT, který je považován za tajný klíč, který zadáte v konfiguraci aplikace (viz část Vytvoření tajného klíče klienta v dokumentaci k Přihlášení pomocí Apple).
Budete muset shromáždit ID klienta a tajný klíč klienta pro vaši aplikaci.
Důležité
Tajný klíč klienta je důležitými přihlašovacími údaji zabezpečení. Tento tajný kód nesdílejte s kýmkoli ani ho nedistribuujte v rámci klientské aplikace.
Kromě toho budete potřebovat metadata OpenID Connect pro zprostředkovatele. To se často vystavuje prostřednictvím dokumentu metadat konfigurace, což je přípona adresy URL vystavitele poskytovatele s příponou /.well-known/openid-configuration
. Shromážděte tuto adresu URL konfigurace.
Pokud nemůžete použít dokument metadat konfigurace, budete muset shromáždit následující hodnoty samostatně:
- Adresa URL vystavitele (někdy zobrazená jako
issuer
) - Koncový bod autorizace OAuth 2.0 (někdy se zobrazuje jako
authorization_endpoint
) - Koncový bod tokenu OAuth 2.0 (někdy se zobrazuje jako
token_endpoint
) - Adresa URL dokumentu sady webových klíčů JSON OAuth 2.0 (někdy se zobrazuje jako
jwks_uri
)
Přidání informací o poskytovateli do aplikace
- Přihlaste se k webu Azure Portal a přejděte do aplikace.
- V nabídce vlevo vyberte Ověřování . Vyberte Přidat zprostředkovatele identity.
- V rozevíracím seznamu zprostředkovatele identity vyberte OpenID Connect .
- Zadejte jedinečný alfanumerický název vybraný dříve pro název zprostředkovatele OpenID.
- Pokud máte adresu URL dokumentu metadat od zprostředkovatele identity, zadejte tuto hodnotu pro adresu URL metadat. V opačném případě vyberte možnost Zadat koncové body samostatně a vložte každou adresu URL shromážděnou od zprostředkovatele identity do příslušného pole.
- Do příslušných polí zadejte dříve shromážděné ID klienta a tajný klíč klienta.
- Zadejte název nastavení aplikace pro tajný klíč klienta. Tajný klíč klienta se uloží jako nastavení aplikace, aby se zajistilo, že se tajné kódy ukládají zabezpečeným způsobem. Pokud chcete spravovat tajný klíč ve službě Azure Key Vault, můžete toto nastavení později aktualizovat tak, aby používalo odkazy na službu Key Vault.
- Stisknutím tlačítka Přidat dokončete nastavení zprostředkovatele identity.
Poznámka:
Název zprostředkovatele OpenID nemůže obsahovat symboly jako -, protože se na základě toho vytvoří nastavení aplikace a nepodporuje ho. Místo toho použijte "_".
Poznámka:
Azure vyžaduje obory "openid", "profile" a "email". Ujistěte se, že jste ve zprostředkovateli ID nakonfigurovali registraci aplikace s alespoň těmito obory.
Další kroky
- Přehled ověřování nebo autorizace služby App Service
- Kurz: Ověřování a autorizace koncových uživatelů ve službě Aplikace Azure Service