Rychlý start: Přidání ověřování aplikací do webové aplikace spuštěné ve službě Aplikace Azure Service

Zjistěte, jak povolit ověřování pro webovou aplikaci spuštěnou ve službě Aplikace Azure Service a omezit přístup uživatelům ve vaší organizaci.

V tomto kurzu se naučíte:

• Nakonfigurujte ověřování pro webovou aplikaci.
• Omezte přístup k webové aplikaci uživatelům ve vaší organizaci pomocí Microsoft Entra jako zprostředkovatele identity.

Automatické ověřování poskytované službou App Service

App Service poskytuje integrovanou podporu ověřování a autorizace, takže se můžete přihlásit uživatele bez kódu ve webové aplikaci. Použití volitelného modulu ověřování/autorizace služby App Service zjednodušuje ověřování a autorizaci pro vaši aplikaci. Až budete připraveni na vlastní ověřování a autorizaci, můžete na této architektuře stavět.

Ověřování služby App Service poskytuje:

• Snadné zapnutí a konfigurace prostřednictvím webu Azure Portal a nastavení aplikace
• Nejsou vyžadovány žádné sady SDK, konkrétní jazyky ani změny kódu aplikace.
• Je podporováno několik poskytovatelů identity.
  • Microsoft Entra
  • Účet Microsoft
  • Facebook
  • Google
  • X

Když je povolený modul ověřování/autorizace, před zpracováním kódu aplikace projde každý příchozí požadavek HTTP. Další informace najdete v tématu Ověřování a autorizace ve službě Aplikace Azure Service.

1. Požadavky

Pokud nemáte účet Azure, vytvořte si bezplatný účet před tím, než začnete.

2. Vytvoření a publikování webové aplikace ve službě App Service

Pro účely tohoto kurzu potřebujete webovou aplikaci nasazenou do služby App Service. Můžete použít existující webovou aplikaci nebo můžete postupovat podle některého z rychlých startů a vytvořit a publikovat novou webovou aplikaci do služby App Service:

• ASP.NET Core
• Node.js
• Krajta
• Java

Bez ohledu na to, jestli používáte existující webovou aplikaci nebo vytváříte novou, poznamenejte si následující skutečnosti:

• Název webové aplikace
• Skupina prostředků, do které je webová aplikace nasazená.

Tyto názvy budete potřebovat v průběhu tohoto kurzu.

3. Konfigurace ověřování a autorizace

Teď, když máte webovou aplikaci spuštěnou ve službě App Service, povolte ověřování a autorizaci. Jako zprostředkovatele identity použijete Microsoft Entra. Další informace najdete v tématu Konfigurace ověřování Microsoft Entra pro vaši aplikaci služby App Service.

Konfigurace pracovních sil

1. V nabídce webu Azure Portal vyberte Skupiny prostředků nebo vyhledejte a vyberte skupiny prostředků z libovolné stránky.

2. Ve skupinách prostředků vyhledejte a vyberte skupinu prostředků. V části Přehled vyberte stránku správy vaší aplikace.

   

3. V nabídce vlevo vaší aplikace vyberte Ověřování a pak vyberte Přidat poskytovatele identity.

4. Na stránce Přidat zprostředkovatele identity vyberte Microsoft jako poskytovatele identity pro přihlašování pomocí identit Microsoft a Microsoft Entra.

5. Jako typ tenanta vyberte Konfiguraci pracovních sil (aktuální tenant) pro zaměstnance a obchodní hosty.

6. Pro registraci aplikace>typ registrace aplikace vyberte Vytvořit novou registraci aplikace a vytvořte novou registraci aplikace v Microsoft Entra.

7. Zadejte zobrazovaný název aplikace. Uživatelům vaší aplikace se může zobrazit zobrazované jméno, když aplikaci používají, například při přihlašování.

8. V případě vypršení platnosti tajného klíče klienta vyberte Doporučené: 180 dní.

9. U registrace aplikace>podporovaných typů účtů vyberte aktuální tenant - jeden tenant, aby se k webové aplikaci mohli přihlásit jenom uživatelé ve vaší organizaci.

10. V části Další kontroly vyberte:

    • Povolit požadavky pouze z této samotné aplikace pro požadavek klientského programu
    • Povolit požadavky z jakékoli identity pro požadavek na identitu
    • Povolit požadavky pouze z tenanta vydavatele pro Požadavek tenanta

11. V části Nastavení ověřování služby App Service nastavte:

    • Vyžadovat ověření pro ověření totožnosti
    • Http 302 Nalezeno přesměrování: doporučeno pro weby pro neověřené požadavky
    • Pole úložiště tokenů

12. Ve spodní části stránky Přidat poskytovatele identity vyberte Přidat a povolte tak ověřování pro svou webovou aplikaci.

    

    Teď máte aplikaci zabezpečenou ověřováním a autorizací služby App Service.

    Poznámka:

    Pokud chcete povolit účty z jiných tenantů, změňte 'Adresu URL vystavitele' na "https://login.microsoftonline.com/common/v2.0" úpravou poskytovatele identity v sekci 'Ověřování'.

Externí konfigurace

1. V nabídce webu Azure Portal vyberte Skupiny prostředků nebo vyhledejte a vyberte skupiny prostředků z libovolné stránky.

2. Ve skupinách prostředků vyhledejte a vyberte skupinu prostředků. V části Přehled vyberte stránku správy vaší aplikace.

   

3. V nabídce vlevo vaší aplikace vyberte Ověřování a pak vyberte Přidat poskytovatele identity.

4. Na stránce Přidat zprostředkovatele identity vyberte Microsoft jako poskytovatele identity pro přihlašování pomocí identit Microsoft a Microsoft Entra.

5. Pro typ tenanta vyberte pro externí uživatele externí konfiguraci.

6. Vyberte Vytvořit novou registraci aplikace a vytvořte novou registraci aplikace.

7. V rozevíracím seznamu vyberte existujícího tenanta, který chcete použít, nebo vyberte Vytvořit nového externího tenanta.

   

8. (Volitelné) Na stránce Vytvořit tenanta přidejte název tenanta* a název domény. Vyberte Umístění a poté možnost Zkontrolovat a vytvořit, a nakonec Vytvořit.

   

9. Vyberte Konfigurovat pro konfiguraci externího ověřování.

10. V prohlížeči se otevře Konfigurace ověřování zákazníka. V nastavení přihlášení vyberte Vytvořit nový , aby se vytvořilo přihlašovací prostředí pro vaše externí uživatele.

11. Zadejte název toku uživatele.

12. V tomto rychlém startu vyberte e-mail a heslo , které umožňuje novým uživatelům zaregistrovat se a přihlásit se pomocí e-mailové adresy jako přihlašovací jméno a heslo jako jejich první přihlašovací údaje.

13. Vytvořte tok uživatele výběrem možnosti Vytvořit.

    

14. Výběrem možnosti Další můžete přizpůsobit branding.

15. Přidejte logo vaší společnosti, vyberte barvu pozadí a vyberte rozložení pro přihlášení.

    

16. Vyberte Další. Pokud už tenant, kterého jste vybrali, má konfiguraci brandingu, budete muset potvrdit, že ji chcete přepsat.

17. Na kartě Revize vyberte Konfigurovat a potvrďte aktualizaci externího tenanta.

18. Prohlížeč se vrátí na stránku Přidat zprostředkovatele identity.

19. V části Další kontroly vyberte:

    • Povolit požadavky pouze z této samotné aplikace pro požadavek klientského programu
    • Povolit požadavky z jakékoli identity pro požadavek na identitu
    • Povolit požadavky pouze z tenanta vydavatele pro Požadavek tenanta

20. V části Nastavení ověřování služby App Service nastavte:

    • Vyžadovat ověření pro ověření totožnosti
    • Http 302 Nalezeno přesměrování: doporučeno pro weby pro neověřené požadavky
    • Pole úložiště tokenů

21. Ve spodní části stránky Přidat poskytovatele identity vyberte Přidat a povolte tak ověřování pro svou webovou aplikaci.

    

4. Ověření omezeného přístupu k webové aplikaci

Když jste v předchozí části povolili modul ověřování/autorizace služby App Service, byla vytvořena registrace aplikace ve vaší organizaci nebo externím tenantovi. Registrace aplikace má název displeje, který jste vytvořili v předchozím kroku.

1. Pokud chcete zkontrolovat nastavení, přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací. Pokud jste zvolili externí konfiguraci, použijte ikonu Nastavení v horní nabídce k přepnutí na externího tenanta s vaší webovou aplikací z nabídky Adresáře + předplatných. Pokud se nacházíte ve správném prostředí:

2. Přejděte na Identitu>Aplikace>Registrace aplikací a v nabídce vyberte Aplikace>Registrace aplikací.

3. Vyberte vytvořenou registraci aplikace.

4. V přehledu ověřte, že podporované typy účtů jsou nastavené jenom pro moji organizaci.

5. Pokud chcete ověřit, že přístup k aplikaci je omezený na uživatele ve vaší organizaci, přejděte na Přehled webové aplikace a vyberte odkaz Výchozí doména.

   

6. Měli byste být přesměrováni na zabezpečenou přihlašovací stránku a ověřit, že neověření uživatelé nemají povolený přístup k webu.

7. Přihlaste se jako uživatel ve vaší organizaci, abyste získali přístup k webu. Můžete také spustit nový prohlížeč a pokusit se přihlásit pomocí osobního účtu a ověřit, že uživatelé mimo organizaci nemají přístup.

5. Vyčištění prostředků

Pokud jste dokončili všechny kroky v tomto vícedílném tutoriálu, vytvořili jste službu App Service, plán hostování služby App Service a účet úložiště ve skupině prostředků. Také jste vytvořili registraci aplikace v Microsoft Entra ID. Pokud jste zvolili externí konfiguraci, možná jste vytvořili nového externího tenanta. Pokud už je nepotřebujete, odstraňte tyto prostředky a registraci aplikace, abyste dál nenabídli poplatky.

V tomto kurzu se naučíte:

• Odstraňte prostředky Azure vytvořené během kurzu.

Smazat skupinu prostředků

Na webu Azure Portal vyberte v nabídce portálu skupiny prostředků a vyberte skupinu prostředků, která obsahuje vaši službu App Service a plán služby App Service.

Výběrem možnosti Odstranit skupinu prostředků odstraňte skupinu prostředků a všechny prostředky.

Spuštění tohoto příkazu může trvat několik minut.

Odstranění registrace aplikace

V Centru pro správu Microsoft Entra vyberte Aplikace> Registrace aplikací. Pak vyberte aplikaci, kterou jste vytvořili.

V přehledu registrace aplikace vyberte Odstranit.

Odstranění externího tenanta

Pokud jste vytvořili nového externího tenanta, můžete ho odstranit. V Centru pro správu Microsoft Entra přejděte na Identita>Přehled>Správa tenantů.

Vyberte tenanta, kterého chcete odstranit, a pak vyberte Odstranit.

Před odstraněním tenanta možná budete muset dokončit požadované akce. Můžete například potřebovat odstranit všechny uživatelské toky a registrace aplikací v rámci tenanta.

Pokud jste připraveni tenanta odstranit, vyberte Odstranit.

Další kroky

V tomto kurzu jste se naučili, jak:

• Nakonfigurujte ověřování pro webovou aplikaci.
• Omezte přístup k webové aplikaci uživatelům ve vaší organizaci.

App Service přistupuje k úložišti