Konfigurieren Ihrer App Service- oder Azure Functions-App für die Anmeldung über einen OpenID Connect-Anbieter

• Microsoft Entra ID
• Facebook
• Google
• Twitter
• Ein OpenID Connect-Anbieter
• Anmelden mit Apple (Vorschau)

In diesem Artikel wird gezeigt, wie Sie Azure App Service oder Azure Functions für die Verwendung eines benutzerdefinierten Authentifizierungsanbieters konfigurieren, der der OpenID Connect-Spezifikation entspricht. Bei OpenID Connect (OIDC) handelt es sich um einen von vielen Identitätsanbietern (IdPs) verwendeten Industriestandard. Sie müssen die Spezifikation nicht im Detail verstehen, um Ihre App für die Verwendung eines entsprechenden IdP zu konfigurieren.

Ihre App kann für die Verwendung eines oder mehrerer OIDC-Anbieter konfiguriert werden. Jedem Anbieter muss in der Konfiguration ein eindeutiger alphanumerischer Name zugewiesen werden, und nur einer kann als Standardziel für die Umleitung dienen.

Registrieren Ihrer Anwendung beim Identitätsanbieter

Neben Ihrer Anwendung müssen gemäß Anbieter auch die zugehörigen Details registriert werden. Einer dieser Schritte umfasst die Angabe eines Umleitungs-URI. Dieser Umleitungs-URI hat die Form <app-url>/.auth/login/<provider-name>/callback. Jeder Identitätsanbieter sollte weitere Anweisungen zum Ausführen dieser Schritte bereitstellen. <provider-name> verweist auf den Anzeigenamen, den Sie dem OpenID-Anbieternamen in Azure geben.

Hinweis

Für einige Anbieter sind möglicherweise zusätzliche Schritte für die Konfiguration und die Verwendung der von ihnen bereitgestellten Werte erforderlich. Apple stellt beispielsweise einen privaten Schlüssel bereit, der nicht selbst als OIDC-Clientgeheimnis verwendet wird. Stattdessen müssen Sie damit ein JWT erstellen, das Sie als Geheimnis in der App-Konfiguration bereitstellen. Weitere Informationen hierzu finden Sie im Abschnitt „Creating the Client Secret“ (Erstellen des Clientgeheimnisses) in der Dokumentation zu „Mit Apple anmelden“.

Sie müssen eine Client-ID und einen geheimen Clientschlüssel für Ihre Anwendung erfassen.

Wichtig

Der geheime Clientschlüssel ist eine wichtige Anmeldeinformation. Teilen Sie diesen Schlüssel mit niemandem, und geben Sie ihn nicht über Ihre Anwendung weiter.

Außerdem benötigen Sie die OpenID Connect-Metadaten für den Anbieter. Diese werden häufig über ein Konfigurationsmetadatendokument zur Verfügung gestellt, bei dem es sich um die Aussteller-URL des Anbieters mit dem Suffix /.well-known/openid-configuration handelt. Erfassen Sie diese Konfigurations-URL.

Wenn Sie kein Konfigurationsmetadatendokument verwenden können, müssen Sie die folgenden Werte separat erfassen:

• Die Aussteller-URL (manchmal als issuer angezeigt)
• Den OAuth 2.0-Autorisierungsendpunkt (manchmal als authorization_endpoint angezeigt)
• Den OAuth 2.0-Tokenendpunkt (manchmal als token_endpoint angezeigt)
• Die URL des Dokuments mit dem OAuth 2.0 JSON Web Key Set (manchmal als jwks_uri angezeigt)

Hinzufügen von Anbieterinformationen zu Ihrer Anwendung

1. Melden Sie sich am Azure-Portal an und navigieren Sie zu Ihrer App.
2. Wählen Sie Authentifizierung im Menü auf der linken Seite. Wählen Sie Identitätsanbieter hinzufügen aus.
3. Wählen Sie im Dropdownfeld „Identitätsanbieter“ OpenID Connect aus.
4. Geben Sie den eindeutigen alphanumerischen Namen an, den Sie zuvor für den OpenID-Anbieternamen ausgewählt haben.
5. Wenn Sie über die URL für das Metadatendokument vom Identitätsanbieter verfügen, geben Sie diesen Wert als Metadaten-URL an. Wählen Sie andernfalls die Option Endpunkte separat bereitstellen aus, und legen Sie jede vom Identitätsanbieter erhaltene URL in das entsprechende Feld ein.
6. Geben Sie die zuvor erfasste Client-ID und den Geheimen Clientschlüssel in den entsprechenden Feldern an.
7. Geben Sie einen Anwendungseinstellungsnamen für Ihren geheimen Clientschlüssel an. Ihr geheimer Clientschlüssel wird als App-Einstellung gespeichert, um sicherzustellen, dass Geheimnisse auf sichere Weise gespeichert werden. Sie können diese Einstellung später aktualisieren, um Key Vault Verweise zu verwenden, wenn Sie den geheimen Schlüssel in Azure Key Vault verwalten möchten.
8. Klicken Sie auf die Schaltfläche Hinzufügen, um die Einrichtung des Identitätsanbieters fertig zu stellen.

Hinweis

Der Name des OpenID-Anbieters darf keine Symbole wie „-“ enthalten, da auf dieser Grundlage eine App-Einstellung (appsetting) erstellt wird, die dies nicht unterstützt. Verwenden Sie stattdessen einen Unterstrich („_“).

Hinweis

Azure erfordert die Bereiche „openid“, „profile“ und „email“. Stellen Sie sicher, dass Sie Ihre App-Registrierung in Ihrem ID-Anbieter mit mindestens diesen Bereichen konfiguriert haben.

Nächste Schritte

• Übersicht über die App Service-Authentifizierung/Autorisierung.
• Tutorial: Umfassendes Authentifizieren und Autorisieren von Benutzern in Azure App Service