Ověřování a autorizace statických webových aplikací

Mějte na paměti následující výchozí hodnoty a prostředky pro ověřování a autorizaci ve službě Azure Static Web Apps.

Výchozí hodnoty:

• Každý uživatel se může ověřit pomocí předkonfigurovaného zprostředkovatele.
  • GitHubu
  • Microsoft Entra ID
  • Pokud chcete omezit zprostředkovatele ověřování, zablokujte přístup pomocí vlastního pravidla směrování.
• Po přihlášení uživatelé patří k rolím a authenticated rolímanonymous. Další informace o rolích najdete v tématu Správa rolí.

Zdroje:

• Definujte pravidla v souboru staticwebapp.config.json pro oprávněné uživatele, kteří získají přístup k omezeným trasám.
• Přiřazení vlastních rolí uživatelů pomocí integrovaného systému pozvánek
• Přiřazení vlastních rolí uživatelů při přihlášení pomocí funkce rozhraní API prostřednictvím kódu programu
• Seznamte se s tím, že ověřování a autorizace se výrazně překrývají s koncepty směrování, které jsou podrobně popsané v průvodci konfigurací aplikace.
• Omezte přihlášení na konkrétního tenanta Microsoft Entra ID tím , že nakonfigurujete vlastního zprostředkovatele ID Microsoft Entra. Předkonfigurovaný poskytovatel ID Microsoft Entra umožňuje přihlášení libovolného účtu Microsoft.

Azure Static Web Apps používá systémovou /.auth složku k poskytování přístupu k rozhraním API souvisejícím s autorizací. Místo zveřejnění žádné trasy v rámci /.auth složky přímo koncovým uživatelům vytvořte pravidla směrování pro popisné adresy URL.

Pomocí následující tabulky vyhledejte trasu specifickou pro zprostředkovatele.

Pokud se například chcete přihlásit pomocí GitHubu, můžete použít adresu URL podobnou následujícímu příkladu.

<a href="/.auth/login/github">Login</a>

Pokud jste se rozhodli podporovat více než jednoho poskytovatele, použijte odkaz specifický pro jednotlivé poskytovatele na vašem webu. Pomocí pravidla trasy namapovat výchozího zprostředkovatele na popisnou trasu, jako je /login.

{
  "route": "/login",
  "redirect": "/.auth/login/github"
}

Nastavení přesměrování po přihlášení

Uživatele můžete po přihlášení vrátit na konkrétní stránku zadáním plně kvalifikované adresy URL v parametru post_login_redirect_uri řetězce dotazu.

Trasa /.auth/logout odhlásí uživatele z webu. Můžete přidat odkaz na navigaci na webu, aby se uživatel mohl odhlásit, například v následujícím příkladu.

<a href="/.auth/logout">Log out</a>

K mapování popisné trasy, jako je /logout, použijte pravidlo trasy.

{
  "route": "/logout",
  "redirect": "/.auth/logout"
}

Nastavení přesměrování po odhlášení

Pokud chcete po odhlášení vrátit uživatele na konkrétní stránku, zadejte adresu URL v post_logout_redirect_uri parametru řetězce dotazu.

Blokování zprostředkovatele ověřování

Ve výchozím nastavení jsou povoleni všichni zprostředkovatelé ověřování, ale možná budete chtít aplikaci omezit na používání zprostředkovatele. Vaše aplikace může například chtít používat jenom poskytovatele, kteří zpřístupňují e-mailové adresy.

Pokud chcete zablokovat poskytovatele, vytvořte pravidlo trasy, které vrátí stavový 404 kód pro požadavky na trasu specifickou pro blokovaného zprostředkovatele. Pokud chcete například omezit ID Entra (dříve Azure Active Directory označované jako "aad") zprostředkovatele, přidejte následující pravidlo trasy.

Když udělíte souhlas s aplikací jako koncový uživatel, aplikace má přístup k vaší e-mailové adrese nebo uživatelskému jménu v závislosti na zprostředkovateli identity. Po poskytnutí těchto informací může vlastník aplikace rozhodnout, jak spravovat osobní údaje.

Koncoví uživatelé musí kontaktovat správce jednotlivých webových aplikací, aby tyto informace odvolali ze svých systémů.

Pokud chcete z platformy Azure Static Web Apps odebrat osobní údaje a zabránit platformě v poskytování těchto informací o budoucích požadavcích, odešlete žádost pomocí následující adresy URL: