Práce s identitami uživatelů v ověřování služby Aplikace Azure
V tomto článku se dozvíte, jak pracovat s identitami uživatelů při použití integrovaného ověřování a autorizace ve službě App Service.
Přístup k deklaracím identity uživatelů v kódu aplikace
Pro všechna jazyková rozhraní služba App Service zpřístupní deklarace identity v příchozím tokenu (ať už od ověřeného koncového uživatele nebo klientské aplikace) do kódu vložením do hlaviček požadavku. Externí požadavky nesmí tyto hlavičky nastavit, takže jsou k dispozici jenom v případě, že je nastaví služba App Service. Mezi příklady hlaviček patří:
| Hlavička | Popis |
|---|---|
X-MS-CLIENT-PRINCIPAL |
Reprezentace dostupných deklarací identity zakódovaná ve formátu JSON s kódováním Base64 Další informace naleznete v tématu Dekódování hlavičky objektu zabezpečení klienta. |
X-MS-CLIENT-PRINCIPAL-ID |
Identifikátor volajícího nastaveného zprostředkovatelem identity. |
X-MS-CLIENT-PRINCIPAL-NAME |
Jméno volajícího nastaveného poskytovatelem identity, například e-mailovou adresu nebo hlavní název uživatele, je čitelný pro volajícího. |
X-MS-CLIENT-PRINCIPAL-IDP |
Název zprostředkovatele identity používaného ověřováním služby App Service. |
Tokeny zprostředkovatele jsou také zpřístupněny prostřednictvím podobných hlaviček. Například Microsoft Entra také nastaví X-MS-TOKEN-AAD-ACCESS-TOKEN a X-MS-TOKEN-AAD-ID-TOKEN podle potřeby.
Poznámka:
Různá jazyková rozhraní mohou tyto hlavičky prezentovat kódu aplikace v různých formátech, jako jsou malá písmena nebo velká písmena názvu.
Kód napsaný v libovolném jazyce nebo rozhraní může získat informace, které potřebuje, z těchto hlaviček. Dekódování hlavičky objektu zabezpečení klienta tento proces pokrývá. V některých architekturách poskytuje platforma také další možnosti, které by mohly být pohodlnější.
Dekódování hlavičky objektu zabezpečení klienta
X-MS-CLIENT-PRINCIPAL obsahuje úplnou sadu dostupných deklarací identity ve formátu JSON s kódováním Base64. Tyto deklarace identity procházejí výchozím procesem mapování deklarací identity, takže některé můžou mít jiné názvy, než byste viděli při přímém zpracování tokenu. Dekódovaná datová část je strukturovaná takto:
{
"auth_typ": "",
"claims": [
{
"typ": "",
"val": ""
}
],
"name_typ": "",
"role_typ": ""
}
| Vlastnost | Type | Description |
|---|---|---|
auth_typ |
string | Název zprostředkovatele identity používaného ověřováním služby App Service. |
claims |
pole objektů | Pole objektů představujících dostupné deklarace identity. Každý objekt obsahuje typ a val vlastnosti. |
typ |
string | Název deklarace identity. Může podléhat výchozímu mapování deklarací identity a může se lišit od odpovídající deklarace identity obsažené v tokenu. |
val |
string | Hodnota deklarace identity. |
name_typ |
string | Typ deklarace identity názvu, což je obvykle identifikátor URI poskytující informace o schématu name o deklaraci identity, pokud je definován. |
role_typ |
string | Typ deklarace identity role, což je obvykle identifikátor URI poskytující informace o schématu role deklarace identity, pokud je definován. |
Aby bylo možné tuto hlavičku zpracovat, musí vaše aplikace dekódovat datovou část a iterovat polem claims , aby našla nároky na úrok. Může být vhodné je převést na reprezentaci používanou jazykovou architekturou aplikace. Tady je příklad tohoto procesu v jazyce C#, který vytvoří typ ClaimsPrincipal pro aplikaci, která se má použít:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Claims;
using System.Text;
using System.Text.Json;
using System.Text.Json.Serialization;
using Microsoft.AspNetCore.Http;
public static class ClaimsPrincipalParser
{
private class ClientPrincipalClaim
{
[JsonPropertyName("typ")]
public string Type { get; set; }
[JsonPropertyName("val")]
public string Value { get; set; }
}
private class ClientPrincipal
{
[JsonPropertyName("auth_typ")]
public string IdentityProvider { get; set; }
[JsonPropertyName("name_typ")]
public string NameClaimType { get; set; }
[JsonPropertyName("role_typ")]
public string RoleClaimType { get; set; }
[JsonPropertyName("claims")]
public IEnumerable<ClientPrincipalClaim> Claims { get; set; }
}
public static ClaimsPrincipal Parse(HttpRequest req)
{
var principal = new ClientPrincipal();
if (req.Headers.TryGetValue("x-ms-client-principal", out var header))
{
var data = header[0];
var decoded = Convert.FromBase64String(data);
var json = Encoding.UTF8.GetString(decoded);
principal = JsonSerializer.Deserialize<ClientPrincipal>(json, new JsonSerializerOptions { PropertyNameCaseInsensitive = true });
}
/**
* At this point, the code can iterate through `principal.Claims` to
* check claims as part of validation. Alternatively, we can convert
* it into a standard object with which to perform those checks later
* in the request pipeline. That object can also be leveraged for
* associating user data, etc. The rest of this function performs such
* a conversion to create a `ClaimsPrincipal` as might be used in
* other .NET code.
*/
var identity = new ClaimsIdentity(principal.IdentityProvider, principal.NameClaimType, principal.RoleClaimType);
identity.AddClaims(principal.Claims.Select(c => new Claim(c.Type, c.Value)));
return new ClaimsPrincipal(identity);
}
}
Alternativy specifické pro architekturu
Pro ASP.NET aplikace 4.6 služba App Service naplní deklarace identityPrincipal.Current deklaracemi identity ověřeného uživatele, takže můžete postupovat podle standardního vzoru kódu .NET, včetně atributu [Authorize] . Podobně app Service pro aplikace PHP naplní proměnnou _SERVER['REMOTE_USER'] . U aplikací v Javě jsou deklarace identity přístupné ze servletu Tomcat.
Pro Azure FunctionsClaimsPrincipal.Current se pro kód .NET nenaplní, ale deklarace identity uživatelů můžete najít v hlavičce požadavku nebo získat ClaimsPrincipal objekt z kontextu požadavku nebo dokonce prostřednictvím parametru vazby. Další informace najdete v tématu Práce s identitami klientů ve službě Azure Functions.
U .NET Core podporuje Microsoft.Identity.Web naplnění aktuálního uživatele ověřováním služby App Service. Další informace najdete na wikiwebu Microsoft.Identity.Web nebo si ho můžete prohlédnout v tomto kurzu pro webovou aplikaci, která přistupuje k Microsoft Graphu.
Poznámka:
Aby mapování deklarací identity fungovalo, musíte povolit úložiště tokenů.
Přístup k deklaracím identity uživatelů pomocí rozhraní API
Pokud je pro vaši aplikaci povolené úložiště tokenů, můžete také získat další podrobnosti o ověřeném uživateli voláním /.auth/me.