Konfigurace aplikace App Service nebo Azure Functions pro použití zprostředkovatele OpenID Connect

• Microsoft Entra
• Facebook
• Google
• GitHub
• X
• Poskytovatel OpenID Connect
• Přihlášení pomocí Apple (náhled)

V tomto článku se dozvíte, jak nakonfigurovat Azure App Service nebo Azure Functions tak, aby používaly vlastního zprostředkovatele ověřování, který dodržuje specifikaci OpenID Connect (OIDC). OIDC je oborový standard, který používá mnoho zprostředkovatelů identity. Nemusíte rozumět podrobnostem specifikace pro použití zprostředkovatele identity OIDC pro vaši aplikaci.

Aplikaci můžete nakonfigurovat tak, aby používala jednoho nebo více zprostředkovatelů OIDC. Každému poskytovateli OIDC musíte dát jedinečný popisný název v konfiguraci aplikace. Jako výchozí cíl přesměrování může sloužit jenom jeden poskytovatel.

Registrace aplikace u zprostředkovatele identity OIDC

Váš poskytovatel vyžaduje, abyste aplikaci zaregistrovali zadáním identifikátoru URI přesměrování ve formuláři <app-url>/.auth/login/<provider-name>/callback. V identifikátoru URI přesměrování nahraďte <app-url> adresou URL vaší aplikace a <provider-name> popisným názvem, který dáváte poskytovateli OpenID v Azure.

Poznámka:

Název zprostředkovatele OpenID nemůže obsahovat pomlčka -, protože se vytvoří nastavení aplikace služby App Service na základě tohoto názvu a nastavení aplikace nepodporuje pomlčky. Místo toho můžete použít podtržítko _ .

Při registraci aplikace musíte shromáždit ID klienta a tajný klíč klienta pro vaši aplikaci. Poznamenejte si tyto hodnoty, které se mají použít v konfiguraci aplikace Azure.

Poznámka:

• Hodnota tajného klíče klienta je důležitými přihlašovacími údaji zabezpečení. Tento tajný kód nesdílejte s kýmkoli ani ho nedistribuujte v rámci klientské aplikace.
• Pokud chcete, aby uživatelé získali přístupové tokeny pomocí toku interaktivního autorizačního kódu, musí vaše aplikace poskytnout tajný klíč klienta. Pokud nechcete získat přístupové tokeny, nemusíte používat tajný kód.

Potřebujete také metadata OIDC zprostředkovatele. Tato metadata se často zveřejňují v dokumentu metadat konfigurace , který můžete získat na cestě, kterou tvoří připojení /.well-known/openid-configuration k adrese URL vystavitele poskytovatele.

Pokud nemáte přístup k dokumentu s metadaty konfigurace, získejte následující hodnoty samostatně:

• Adresa URL vystavitele, která se někdy zobrazuje jako issuer.
• Koncový bod autorizace OAuth 2.0, který se někdy zobrazuje jako authorization_endpoint.
• Koncový bod tokenu OAuth 2.0, který se někdy zobrazuje jako token_endpoint.
• Adresa URL dokumentu sady webových klíčů JSON OAuth 2.0 , která se někdy zobrazuje jako jwks_uri.

Každý zprostředkovatel identity by měl obsahovat pokyny k dokončení registračních kroků. Někteří poskytovatelé můžou vyžadovat další kroky pro konfiguraci nebo použití hodnot, které poskytují. Apple například poskytuje privátní klíč, který použijete k vytvoření webového tokenu JSON (JWT), který zadáte jako tajný kód v konfiguraci aplikace. Další informace naleznete v tématu Vytvoření tajného klíče klienta.

Přidání informací o poskytovateli do aplikace

Pokud chcete nakonfigurovat zprostředkovatele OpenID Connect v Azure, postupujte takto:

1. Na stránce webu Azure Portal pro vaši aplikaci vyberte v části Nastavení v levé navigační nabídce možnost Ověřování.

2. Na stránce Ověřování vyberte Přidat zprostředkovatele identity nebo v části Zprostředkovatel identity vyberte Přidat zprostředkovatele.

3. Na stránce Přidat zprostředkovatele identity vyberte jako zprostředkovatele OpenID Connect .

4. Jako název zprostředkovatele OpenID zadejte popisný název, který jste zvolili pro svého zprostředkovatele OIDC.

5. Pokud máte v části Konfigurace zprostředkovatele OpenID Connect dokument metadat od zprostředkovatele identity, vyberte adresu URL dokumentu pro položku Metadata.

   Pokud dokument metadat nemáte, vyberte Zadat metadata a do příslušného pole zadejte každou adresu URL zprostředkovatele identity.

6. V části Registrace aplikace zadejte hodnoty, které jste shromáždili dříve pro ID klienta a tajný klíč klienta.

7. Pokud se jedná o prvního zprostředkovatele identity pro aplikaci, zobrazí se část Nastavení ověřování služby App Service s nastavením, jako je například způsob, jakým vaše aplikace reaguje na neověřené požadavky. Výchozí výběry přesměrují všechny požadavky na přihlášení pomocí nového poskytovatele.

   Pokud jste už pro aplikaci nakonfigurovali zprostředkovatele identity, tato část se nezobrazí. V případě potřeby můžete nastavení později přizpůsobit.

8. Vyberte Přidat pro dokončení nastavení zprostředkovatele identity.

Na stránce <Ověřování se teď oidc_friendly_name> (vlastní zprostředkovatel) zobrazí v části Zprostředkovatel identity. Nastavení poskytovatele můžete upravit tak, že v části Upravit vyberete ikonu tužky.

Část Nastavení ověřování ukazuje nastavení, jako je například způsob, jakým aplikace reaguje na neověřené požadavky. Tato nastavení můžete upravit tak, že vyberete Upravit vedle nastavení ověřování. Další informace omožnostch

Tajný kód aplikace je uložen jako nastavení<oidc_friendly_name>_AUTHENTICATION_SECRETaplikace s názvem slot-sticky . Nastavení se zobrazí na kartě Nastavení aplikace na stránce Proměnné prostředí vaší aplikace na portálu. Pokud chcete spravovat tajný kód ve službě Azure Key Vault, můžete upravit nastavení tak, aby používalo odkazy na službu Key Vault.

Poznámka:

Pokud chcete přidat obory, definujte oprávnění, která vaše aplikace má, na portálu pro registraci poskytovatele. Aplikace může požádat o obory, které tato oprávnění používají při přihlášení.

• Azure vyžaduje openid, profile a email rozsahy. Ujistěte se, že ve zprostředkovateli identity nakonfigurujete registraci aplikace s alespoň těmito obory.
• Obor aud musí být stejný jako nakonfigurované ID klienta. Pro tohoto poskytovatele nemůžete nakonfigurovat povolené cílové skupiny.

Související obsah

• Ověřování a autorizace ve službě Azure App Service a Azure Functions
• Kurz: Ověřování a autorizace koncových uživatelů ve službě Azure App Service