Vlastní ověřování ve službě Azure Static Web Apps

Azure Static Web Apps poskytuje spravované ověřování , které používá registrace zprostředkovatele spravované v Azure. Pokud chcete u registrace povolit větší flexibilitu, můžete výchozí hodnoty přepsat vlastní registrací.

• Vlastní ověřování také umožňuje konfigurovat vlastní zprostředkovatele , kteří podporují OpenID Connect. Tato konfigurace umožňuje registraci více externích poskytovatelů.

• Použití všech vlastních registrací zakáže všechny předkonfigurované poskytovatele.

Poznámka:

Vlastní ověřování je dostupné jenom v plánu Azure Static Web Apps Standard.

Konfigurace vlastního zprostředkovatele identity

Vlastní zprostředkovatelé identity se konfigurují v auth části konfiguračního souboru.

Aby se zabránilo vkládání tajných kódů do správy zdrojového kódu, konfigurace se podívá do nastavení aplikace pro odpovídající název v konfiguračním souboru. Můžete se také rozhodnout ukládat tajné kódy ve službě Azure Key Vault.

Microsoft Entra ID

Pokud chcete vytvořit registraci, začněte vytvořením následujícího nastavení aplikace:

Název nastavení	Hodnota
AZURE_CLIENT_ID	ID aplikace (klienta) pro registraci aplikace Microsoft Entra.
'AZURE_CLIENT_SECRET_APP_SETTING_NAME	Název nastavení aplikace, které obsahuje tajný klíč klienta pro registraci aplikace Microsoft Entra.

Dále pomocí následující ukázky nakonfigurujte zprostředkovatele v konfiguračním souboru.

Poskytovatelé Microsoft Entra jsou k dispozici ve dvou různých verzích. Verze 1 explicitně definuje userDetailsClaimdatovou část, která umožňuje vrátit informace o uživateli. Naproti tomu verze 2 ve výchozím nastavení vrací informace o uživateli a je určena v2.0 v openIdIssuer adrese URL.

Microsoft Entra verze 1

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Nezapomeňte nahradit <TENANT_ID> ID tenanta Microsoft Entra.

Microsoft Entra verze 2

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Nezapomeňte nahradit <TENANT_ID> ID tenanta Microsoft Entra.

Další informace o tom, jak nakonfigurovat ID Microsoft Entra, najdete v dokumentaci k ověřování/autorizaci služby App Service při použití existující registrace.

Pokud chcete nakonfigurovat, které účty se můžou přihlásit, přečtěte si téma Úprava účtů podporovaných aplikací a omezení aplikace Microsoft Entra na sadu uživatelů v tenantovi Microsoft Entra.

Poznámka:

Zatímco konfigurační oddíl pro Microsoft Entra ID je azureActiveDirectory, platforma aliasy to v aad adrese URL pro přihlášení, odhlášení a vymazání informací o uživateli. Další informace najdete v části ověřování a autorizace .

Vlastní certifikát

Pomocí následujícího postupu přidejte vlastní certifikát do registrace aplikace Microsoft Entra ID.

1. Pokud ještě není, nahrajte certifikát do služby Microsoft Key Vault.

2. Přidejte spravovanou identitu do statické webové aplikace.

   U spravovaných identit přiřazených uživatelem nastavte keyVaultReferenceIdentity vlastnost objektu statické lokality na resourceId spravovanou identitu přiřazenou uživatelem.

   Pokud je spravovaná identita přiřazená systémem, tento krok přeskočte.

3. Udělte spravované identitě následující zásady přístupu:

   • Tajné kódy: Získání/výpis
   • Certifikáty: Získání/výpis

4. Aktualizujte oddíl konfigurace ověřování oddílu azureActiveDirectory konfigurace hodnotou clientSecretCertificateKeyVaultReference , jak je znázorněno v následujícím příkladu:

   {
     "auth": {
       "rolesSource": "/api/GetRoles",
       "identityProviders": {
         "azureActiveDirectory": {
           "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
           "registration": {
             "openIdIssuer": "https://login.microsoftonline.com/common/v2.0",
             "clientIdSettingName": "AZURE_CLIENT_ID",
             "clientSecretCertificateKeyVaultReference": "@Microsoft.KeyVault(SecretUri=https://<KEY_VAULT_NAME>.azure.net/certificates/<CERTIFICATE_NAME>/<CERTIFICATE_VERSION_ID>)",
             "clientSecretCertificateThumbprint": "*"
           }
         }
       }
     }
   }
   

   Nezapomeňte nahradit hodnoty zástupných symbolů obklopených znakem <>.

   V identifikátoru URI tajného klíče zadejte název trezoru klíčů a název certifikátu. Pokud chcete připnout na verzi, zahrňte verzi certifikátu, jinak vynechejte verzi, aby modul runtime vybral nejnovější verzi certifikátu.

   Nastavte clientSecretCertificateThumbprint stejnou hodnotu tak, aby * vždy načítala nejnovější verzi kryptografického otisku certifikátů.

Jablko

Pokud chcete vytvořit registraci, začněte vytvořením následujícího nastavení aplikace:

Název nastavení	Hodnota
APPLE_CLIENT_ID	ID klienta Apple.
APPLE_CLIENT_SECRET_APP_SETTING_NAME	Název nastavení aplikace, které obsahuje tajný klíč klienta Apple.

Dále pomocí následující ukázky nakonfigurujte zprostředkovatele v konfiguračním souboru.

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Další informace o tom, jak nakonfigurovat Apple jako zprostředkovatele ověřování, najdete v dokumentaci k ověřování a autorizaci služby App Service.

Facebook

Pokud chcete vytvořit registraci, začněte vytvořením následujícího nastavení aplikace:

Název nastavení	Hodnota
FACEBOOK_APP_ID	ID aplikace Facebook.
FACEBOOK_APP_SECRET_APP_SETTING_NAME	Název nastavení aplikace, které obsahuje tajný kód aplikace Facebook.

Dále pomocí následující ukázky nakonfigurujte zprostředkovatele v konfiguračním souboru.

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Další informace o tom, jak nakonfigurovat Facebook jako zprostředkovatele ověřování, najdete v dokumentaci k ověřování a autorizaci služby App Service.

GitHub

Pokud chcete vytvořit registraci, začněte vytvořením následujícího nastavení aplikace:

Název nastavení	Hodnota
GITHUB_CLIENT_ID	ID klienta GitHubu
GITHUB_CLIENT_SECRET_APP_SETTING_NAME	Název nastavení aplikace, které obsahuje tajný klíč klienta GitHubu.

Dále pomocí následující ukázky nakonfigurujte zprostředkovatele v konfiguračním souboru.

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Google

Pokud chcete vytvořit registraci, začněte vytvořením následujícího nastavení aplikace:

Název nastavení	Hodnota
GOOGLE_CLIENT_ID	ID klienta Google.
GOOGLE_CLIENT_SECRET_APP_SETTING_NAME	Název nastavení aplikace, které obsahuje tajný klíč klienta Google.

Dále pomocí následující ukázky nakonfigurujte zprostředkovatele v konfiguračním souboru.

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Další informace o tom, jak nakonfigurovat Google jako zprostředkovatele ověřování, najdete v dokumentaci k ověřování a autorizaci služby App Service.

X (Twitter)

Pokud chcete vytvořit registraci, začněte vytvořením následujícího nastavení aplikace:

Název nastavení	Hodnota
X_CONSUMER_KEY	Uživatelský klíč X (Twitter).
X_CONSUMER_SECRET_APP_SETTING_NAME	Název nastavení aplikace, které obsahuje tajný kód uživatele X (Twitter).

Dále pomocí následující ukázky nakonfigurujte zprostředkovatele v konfiguračním souboru.

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "X_CONSUMER_KEY",
          "consumerSecretSettingName": "X_CONSUMER_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Další informace o tom, jak nakonfigurovat Twitter jako zprostředkovatele ověřování, najdete v dokumentaci k ověřování a autorizaci služby App Service.

OpenID Connect

Azure Static Web Apps můžete nakonfigurovat tak, aby používala vlastního zprostředkovatele ověřování, který dodržuje specifikaci OpenID Connect (OIDC). K použití vlastního zprostředkovatele OIDC jsou potřeba následující kroky.

• Jeden nebo více poskytovatelů OIDC je povoleno.
• Každý zprostředkovatel musí mít v konfiguraci jedinečný název.
• Jako výchozí cíl přesměrování může sloužit jenom jeden poskytovatel.

Registrace aplikace u zprostředkovatele identity

Musíte zaregistrovat podrobnosti o aplikaci u zprostředkovatele identity. Obraťte se na poskytovatele ohledně kroků potřebných k vygenerování ID klienta a tajného klíče klienta pro vaši aplikaci.

Po registraci aplikace u zprostředkovatele identity vytvořte následující tajné kódy aplikace v nastavení aplikace statické webové aplikace:

Název nastavení	Hodnota
MY_PROVIDER_CLIENT_ID	ID klienta vygenerované zprostředkovatelem ověřování pro vaši statickou webovou aplikaci.
MY_PROVIDER_CLIENT_SECRET_APP_SETTING_NAME	Název nastavení aplikace, které obsahuje tajný klíč klienta vygenerovaný vlastní registrací zprostředkovatele ověřování pro vaši statickou webovou aplikaci.

Pokud zaregistrujete jiné poskytovatele, každý z nich potřebuje přidružené ID klienta a úložiště tajných kódů klienta v nastavení aplikace.

Důležité

Tajné kódy aplikací jsou citlivé přihlašovací údaje zabezpečení. Tento tajný kód nesdílejte s kýmkoli, distribuujte ho v rámci klientské aplikace nebo se obraťte na správu zdrojového kódu.

Jakmile budete mít přihlašovací údaje pro registraci, pomocí následujícího postupu vytvořte vlastní registraci.

1. Potřebujete metadata OpenID Connect pro zprostředkovatele. Tyto informace se často zveřejňují prostřednictvím dokumentu metadat konfigurace, což je přípona adresy URL vystavitele poskytovatele s příponou /.well-known/openid-configuration. Shromážděte tuto adresu URL konfigurace.

2. auth Přidejte oddíl konfiguračního souboru s blokem konfigurace pro zprostředkovatele OIDC a definici zprostředkovatele.

   {
     "auth": {
       "identityProviders": {
         "customOpenIdConnectProviders": {
           "myProvider": {
             "registration": {
               "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
               "clientCredential": {
                 "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET_APP_SETTING_NAME"
               },
               "openIdConnectConfiguration": {
                 "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
               }
             },
             "login": {
               "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
               "scopes": [],
               "loginParameterNames": []
             }
           }
         }
       }
     }
   }
   

• Název zprostředkovatele v myProvider tomto příkladu je jedinečný identifikátor používaný službou Azure Static Web Apps.
• Nezapomeňte nahradit <PROVIDER_ISSUER_URL> cestou k adrese URL vystavitele poskytovatele.
• Objekt login umožňuje zadat hodnoty pro: vlastní obory, protokolovat parametry nebo vlastní deklarace identity.

Zpětné volání ověřování

Zprostředkovatelé identity vyžadují k dokončení žádosti o přihlášení nebo odhlášení adresu URL přesměrování. Většina poskytovatelů vyžaduje, abyste do seznamu povolených přidali adresy URL zpětného volání. Následující koncové body jsou k dispozici jako cíle přesměrování.

Typ	Vzor adresy URL
Přihlásit	https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback
Odhlášení	https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback

Pokud používáte ID Microsoft Entra, použijte aad jako hodnotu zástupného symbolu <PROVIDER_NAME_IN_CONFIG> .

Poznámka:

Tyto adresy URL poskytuje Služba Azure Static Web Apps, aby získala odpověď od zprostředkovatele ověřování, nemusíte na těchto trasách vytvářet stránky.

Podrobnosti o přihlášení, odhlášení a uživateli

Pokud chcete použít vlastního zprostředkovatele identity, použijte následující vzory adres URL.

Akce	Vzor
Přihlásit	/.auth/login/<PROVIDER_NAME_IN_CONFIG>
Odhlášení	/.auth/logout
Podrobnosti uživatele	/.auth/me
Vymazání podrobností o uživateli	/.auth/purge/<PROVIDER_NAME_IN_CONFIG>

Pokud používáte ID Microsoft Entra, použijte aad jako hodnotu zástupného symbolu <PROVIDER_NAME_IN_CONFIG> .

Správa rolí

Každý uživatel, který přistupuje ke statické webové aplikaci, patří do jedné nebo více rolí. Uživatelé můžou patřit dvěma předdefinovanými rolemi:

• anonymní: Všichni uživatelé automaticky patří do anonymní role.
• ověřeno: Všichni přihlášení uživatelé patří k ověřené roli.

Kromě předdefinovaných rolí můžete uživatelům přiřadit vlastní role a odkazovat na ně v souboru staticwebapp.config.json .

Pozvání

Přidání uživatele do role

Pokud chcete přidat uživatele do role, vygenerujete pozvánky, které umožňují přidružit uživatele k určitým rolím. Role se definují a spravují v souboru staticwebapp.config.json .

Vytvoření pozvánky

Pozvánky jsou specifické pro jednotlivé poskytovatele autorizace, proto při výběru poskytovatelů, které mají podporovat, zvažte potřeby vaší aplikace. Někteří poskytovatelé zpřístupňují e-mailovou adresu uživatele, zatímco jiní zadají jenom uživatelské jméno webu.

Zprostředkovatel autorizace	Vystavuje
Microsoft Entra ID	e-mailovou adresu
GitHubu	username
Twitter	username

Pomocí následujícího postupu vytvořte pozvánku.

1. Na webu Azure Portal přejděte k prostředku Static Web Apps.
2. V části Nastavení vyberte Správa rolí.
3. Vyberte Pozvat.
4. V seznamu možností vyberte zprostředkovatele autorizace.
5. Do pole s podrobnostmi o pozvánce přidejte buď uživatelské jméno, nebo e-mailovou adresu příjemce.
   • Pro GitHub a Twitter zadejte uživatelské jméno. Pro všechny ostatní zadejte e-mailovou adresu příjemce.
6. V rozevírací nabídce Doména vyberte doménu vaší statické lokality.
   • Doména, kterou vyberete, je doména, která se zobrazí v pozvánce. Pokud máte vlastní doménu přidruženou k webu, zvolte vlastní doménu.
7. Do pole Role přidejte seznam názvů rolí oddělených čárkami.
8. Zadejte maximální počet hodin, po které má pozvánka zůstat platná.
   • Maximální možný limit je 168 hodin, což je sedm dní.
9. Vyberte Generovat.
10. Zkopírujte odkaz z pole Pozvat odkaz .
11. Pošlete e-mailem odkaz na pozvánku uživateli, kterému udělujete přístup.

Když uživatel vybere odkaz v pozvánce, zobrazí se výzva k přihlášení pomocí odpovídajícího účtu. Po úspěšném přihlášení se uživatel přidružuje k vybraným rolím.

Upozornění

Ujistěte se, že pravidla směrování nejsou v konfliktu s vybranými zprostředkovateli ověřování. Blokování zprostředkovatele pravidlem trasy brání uživatelům v přijímání pozvánek.

Aktualizujte přiřazení rolí

1. Na webu Azure Portal přejděte k prostředku Static Web Apps.
2. V části Nastavení vyberte Správa rolí.
3. Vyberte uživatele v seznamu.
4. Upravte seznam rolí v poli Role .
5. Vyberte Aktualizovat.

Odebrat uživatele

1. Na webu Azure Portal přejděte k prostředku Static Web Apps.
2. V části Nastavení vyberte Správa rolí.
3. Vyhledejte uživatele v seznamu.
4. Zaškrtněte políčko na řádku uživatele.
5. Vyberte Odstranit.

Při odebírání uživatele mějte na paměti následující položky:

• Odebrání uživatele zneplatní svá oprávnění.
• Šíření po celém světě může trvat několik minut.
• Pokud se uživatel přidá zpět do aplikace, userId změny se změní.

Funkce (Preview)

Místo použití integrovaného systému pozvánek můžete pomocí funkce bez serveru programově přiřazovat role uživatelům při přihlašování.

Pokud chcete přiřadit vlastní role ve funkci, můžete definovat funkci rozhraní API, která se automaticky volá po každém úspěšném ověření uživatele u zprostředkovatele identity. Funkce se předává informace o uživateli od zprostředkovatele. Musí vrátit seznam vlastních rolí, které jsou přiřazeny uživateli.

Mezi příklady použití této funkce patří:

• Dotazování databáze na určení rolí, které má uživatel přiřadit
• Volání rozhraní Microsoft Graph API k určení rolí uživatele na základě členství ve skupině Active Directory
• Určení rolí uživatele na základě deklarací identity vrácených zprostředkovatelem identity

Poznámka:

Možnost přiřazovat role prostřednictvím funkce je dostupná pouze při konfiguraci vlastního ověřování .

Pokud je tato funkce povolená, budou všechny role přiřazené prostřednictvím integrovaného systému pozvánek ignorovány.

Konfigurace funkce pro přiřazování rolí

Pokud chcete nakonfigurovat statickou webovou aplikaci tak, aby používala funkci API jako funkci přiřazení role, přidejte rolesSource do části konfiguračního souboru vaší aplikace vlastnostauth. Hodnota rolesSource vlastnosti je cesta k funkci rozhraní API.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

Poznámka:

Po nakonfigurování už funkce přiřazení role nemůže být přístupná externími požadavky HTTP.

Vytvoření funkce pro přiřazování rolí

Po definování rolesSource vlastnosti v konfiguraci aplikace přidejte do statické webové aplikace funkci API na zadanou cestu. Můžete použít spravovanou aplikaci funkcí nebo použít vlastní aplikaci funkcí.

Pokaždé, když se uživatel úspěšně ověří u zprostředkovatele identity, metoda POST zavolá zadanou funkci. Funkce předá objekt JSON v textu požadavku, který obsahuje informace uživatele od zprostředkovatele. U některých zprostředkovatelů identity obsahují accessToken informace o uživateli také informace, které může funkce použít k volání rozhraní API pomocí identity uživatele.

Podívejte se na následující příklad datové části z ID Microsoft Entra:

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

Funkce může pomocí informací uživatele určit, které role se mají uživateli přiřadit. Musí vrátit odpověď HTTP 200 s textem JSON obsahujícím seznam vlastních názvů rolí pro přiřazení uživateli.

Pokud chcete například přiřadit uživatele k Reader rolím a Contributor role, vraťte následující odpověď:

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

Pokud nechcete uživateli přiřazovat žádné další role, vraťte prázdné roles pole.

Další informace najdete v tématu Kurz: Přiřazení vlastních rolí pomocí funkce a Microsoft Graphu.

Další kroky

Programové nastavení rolí uživatelů