Použití spravované identity

V tomto článku se dozvíte, jak vytvořit a použít spravovanou identitu ve službě Azure Web PubSub.

Důležité

Azure Web PubSub může podporovat pouze jednu spravovanou identitu. Můžete přidat identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

Přidání identity přiřazené systémem

Pokud chcete nastavit spravovanou identitu na webu Azure Portal, vytvořte instanci Azure Web PubSub a pak tuto funkci zapněte.

1. Na webu Azure Portal vytvořte prostředek Web PubSub. Na portálu přejděte k prostředku.

2. V nabídce vlevo vyberte Identita.

3. Vyberte kartu Přiřazený systém a pak nastavte Stav na Zapnuto. Zvolte Uložit.

   

Přidání identity přiřazené uživatelem

Pokud chcete vytvořit prostředek Web PubSub pomocí identity přiřazené uživatelem, vytvořte identitu a pak do služby přidejte identifikátor prostředku identity.

1. Vytvořte prostředek spravované identity přiřazené uživatelem.

2. Na webu Azure Portal vytvořte prostředek Web PubSub. Na portálu přejděte k prostředku.

3. V nabídce vlevo vyberte Identita.

4. Vyberte kartu Přiřazený uživatel a pak vyberte Přidat.

5. Vyhledejte identitu, kterou jste vytvořili, a vyberte ji. Vyberte Přidat.

   

Použití spravované identity ve scénářích událostí klienta

Azure Web PubSub je plně spravovaná služba, takže nemůžete použít spravovanou identitu k ručnímu získání tokenů. Místo toho, když Web PubSub odesílá události obslužné rutině události, používá spravovanou identitu k získání přístupového tokenu. Služba pak nastaví přístupový token v Authorization hlavičce požadavku HTTP.

Nastavení ověřování spravované identity pro obslužnou rutinu události

1. Přidejte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

2. Přejděte na Konfigurace nastavení centra a přidejte nebo upravte obslužnou rutinu nadřazené události.

   

3. V části Ověřování vyberte Použít spravovanou identitu a pak zaškrtněte políčko Zadat vystavenou cílovou skupinu tokenů. Cílová skupina se stane aud deklarací identity v přístupovém tokenu. Deklarace identity může být součástí ověření obslužné rutiny události.

   Pro ověřování můžete zvolit jednu z těchto možností:

   • Použijte existující aplikaci Microsoft Entra. Použije se ID aplikace, kterou zvolíte.
   • Použijte identifikátor URI ID aplikace instančního objektu.

   Důležité

   Použití prázdného prostředku skutečně získá cíl tokenu pro Microsoft Graph. Microsoft Graph v současné době povoluje šifrování tokenů, takže aplikace nepodporuje ověřování tokenu jiného než v Microsoft Graphu. Vždy byste měli vytvořit instanční objekt, který bude představovat váš upstreamový cíl. Nastavte ID aplikace nebo hodnotu identifikátoru URI ID aplikace pro instanční objekt, který jste vytvořili.

Ověřování v aplikaci Azure Functions

Ověření přístupu pro aplikaci Functions můžete snadno nastavit bez provedení změn kódu.

1. Na webu Azure Portal přejděte do aplikace Functions.

2. V nabídce vlevo vyberte Ověřování.

3. Vyberte Přidat zprostředkovatele identity.

4. Na kartě Základy pro zprostředkovatele identity vyberte Microsoft.

5. Chcete-li provést akci, pokud požadavek není ověřen, vyberte Přihlásit se pomocí Microsoft Entra ID.

6. Ve výchozím nastavení je vybraná možnost vytvořit novou registraci. Můžete změnit název registrace. Další informace o tom, jak povolit poskytovatele Microsoft Entra, najdete v tématu Konfigurace vaší aplikace Aplikace Azure Service nebo Azure Functions tak, aby používala přihlášení k Microsoft Entra ID.

   

7. Přejděte do prostředku Web PubSub a přidejte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

8. V levé nabídce prostředku Web PubSub vyberte Nastavení.

9. Pokud chcete upravit nastavení centra, vyberte Upravit a upravte nastavení obslužné rutiny události. V části Ověřování vyberte Použít spravovanou identitu a zaškrtněte políčko Vybrat z existujících aplikací. Vyberte aplikaci, kterou jste vytvořili.

Po nakonfigurování těchto nastavení aplikace Functions odmítne žádosti, které nemají přístupový token v hlavičce.

Ověření přístupového tokenu

Pokud nepoužíváte funkci Web Apps služby Aplikace Azure nebo Azure Functions, můžete token také ověřit.

Token v Authorization hlavičce je přístupový token Microsoft Identity Platform.

Pokud chcete ověřit přístupový token, měla by vaše aplikace také ověřit cílovou skupinu a podpisový token. Podpisové tokeny musí být ověřeny proti hodnotám v dokumentu zjišťování OpenID. Podívejte se například na verzi dokumentu nezávislou na tenantovi.

Middleware Microsoft Entra má integrované funkce pro ověřování přístupových tokenů. V našich ukázkách najdete ten, který je napsaný v jazyce, který chcete použít.

Poskytujeme knihovny a ukázky kódu, které ukazují, jak zpracovávat ověřování tokenů. K dispozici je také několik opensourcových partnerských knihoven pro ověření webového tokenu JSON (JWT). Pro téměř každou platformu a jazyk existuje alespoň jedna možnost. Další informace o autorizačních knihovnách Microsoft Entra a ukázkách kódu najdete v tématu Knihovny ověřování platformy Microsoft Identity Platform.

Pokud jsou hostitelé obslužné rutiny událostí ve službě Azure Functions nebo Web Apps, můžete snadno nakonfigurovat přihlášení k Microsoft Entra.

Použití spravované identity pro referenci trezoru klíčů

Web PubSub má přístup k trezoru klíčů, aby získal tajný kód pomocí spravované identity.

1. Přidejte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem pro Azure Web PubSub.

2. V trezoru klíčů udělte oprávnění ke čtení tajných kódů pro spravovanou identitu pomocí zásad přístupu. Další informace najdete v tématu Přiřazení zásad přístupu trezoru klíčů na webu Azure Portal.

V současné době lze tuto funkci použít v následujícím scénáři:

• Pomocí syntaxe {@Microsoft.KeyVault(SecretUri=<secret-identity>)} můžete získat tajné kódy z trezoru klíčů v nastavení šablony adresy URL obslužné rutiny události.

Související obsah

• Kurz: Vytvoření bezserverové chatovací aplikace v reálném čase pomocí Azure Functions a Azure Web PubSub