Povolení ověřování a autorizace v Azure Container Apps pomocí vlastního zprostředkovatele OpenID Connect

Tento článek ukazuje, jak nakonfigurovat Azure Container Apps tak, aby používal vlastního zprostředkovatele ověřování, který dodržuje specifikaci OpenID Connect. OpenID Connect (OIDC) je oborový standard široce přijímaný mnoha zprostředkovateli identity (IDPs). Abyste mohli aplikaci nakonfigurovat tak, aby používala odpovídající protokol IDP, nemusíte rozumět podrobnostem specifikace.

Aplikaci můžete nakonfigurovat tak, aby používala jednoho nebo více zprostředkovatelů OIDC. Každý z nich musí mít v konfiguraci jedinečný alfanumerický název a jako výchozí cíl přesměrování může sloužit jenom jeden.

Registrace aplikace u zprostředkovatele identity

Váš poskytovatel vyžaduje, abyste s ní zaregistrovali podrobnosti o vaší aplikaci. Jedním z těchto kroků je zadání identifikátoru URI přesměrování. Tento identifikátor URI přesměrování je ve formátu <app-url>/.auth/login/<provider-name>/callback. Každý zprostředkovatel identity by měl poskytnout další pokyny k provedení těchto kroků.

Poznámka:

Někteří poskytovatelé vyžadují další kroky pro konfiguraci a různé pokyny k používání hodnot, které poskytují. Například Apple poskytuje privátní klíč, který se nepoužívá jako tajný klíč klienta OIDC. Místo toho ho musíte použít k vytvoření webového tokenu JSON (JWT), který se považuje za tajný klíč, který zadáte v konfiguraci aplikace. Další informace najdete v části Vytvoření tajného klíče klienta v dokumentaci k přihlášení pomocí Apple.

Potřebujete shromáždit ID klienta a tajný klíč klienta pro vaši aplikaci.

Důležité

Klientské tajemství je klíčový bezpečnostní údaj. Tento tajný kód nesdílejte s kýmkoli ani ho nedistribuujte v rámci klientské aplikace.

Kromě toho potřebujete metadata OpenID Connect pro zprostředkovatele. Tyto informace se často zveřejňují prostřednictvím dokumentu metadat konfigurace poskytovatele, což je URL vystavitele rozšířená o příponu . Nezapomeňte shromáždit tuto adresu URL konfigurace.

Pokud nemůžete použít dokument metadat konfigurace, musíte shromáždit následující hodnoty zvlášť:

• Adresa URL vystavitele (někdy zobrazená jako issuer)
• Koncový bod autorizace OAuth 2.0 (někdy se zobrazuje jakoauthorization_endpoint)
• Koncový bod tokenu OAuth 2.0 (někdy se zobrazuje jakotoken_endpoint)
• cs-CZ: URL dokumentu sady webových klíčů OAuth 2.0 JSON (někdy se zobrazuje jako )

Přidání informací o poskytovateli do aplikace

1. Přihlaste se k portálu Azure a přejděte do aplikace.

2. V nabídce vlevo vyberte Ověřování . Vyberte Přidat poskytovatele identity.

3. V rozevíracím seznamu zprostředkovatele identity vyberte OpenID Connect .

4. Zadejte jedinečný alfanumerický název vybraný dříve pro název zprostředkovatele OpenID.

5. Pokud máte URL dokumentu metadat od zprostředkovatele identity, zadejte tuto URL do pole Metadata URL. V opačném případě vyberte možnost Zadat koncové body samostatně a vložte každou adresu URL shromážděnou od zprostředkovatele identity do příslušného pole.

6. Do příslušných polí zadejte dříve shromážděné ID klienta a tajný klíč klienta.

7. Zadejte název nastavení aplikace pro tajný klíč klienta. Tajný klíč klienta je uložený jako tajný kód v aplikaci kontejneru.

8. Stisknutím tlačítka Přidat dokončete nastavení zprostředkovatele identity.

Práce s ověřenými uživateli

Podrobnosti o práci s ověřenými uživateli najdete v následujících průvodcích.

• Přizpůsobení přihlášení a odhlášení
• Přístup k deklaracím identity uživatelů v kódu aplikace

Další kroky

Přehled ověřování a autorizace