Aktivieren der Authentifizierung und Autorisierung in Azure Container Apps mit einem benutzerdefinierten OpenID Connect-Anbieter
In diesem Artikel wird gezeigt, wie Sie Azure Container Apps für die Verwendung eines benutzerdefinierten Authentifizierungsanbieters konfigurieren, der der OpenID Connect-Spezifikation entspricht. Bei OpenID Connect (OIDC) handelt es sich um einen Industriestandard, der von vielen Identitätsanbietern (IDPs) übernommen wurde. Sie müssen die Spezifikation nicht im Detail verstehen, um Ihre App für die Verwendung eines entsprechenden IdP zu konfigurieren.
Ihre App kann für die Verwendung eines oder mehrerer OIDC-Anbieter konfiguriert werden. Jedem Anbieter muss in der Konfiguration ein eindeutiger alphanumerischer Name zugewiesen werden, und nur einer kann als Standardziel für die Umleitung dienen.
Registrieren Ihrer Anwendung beim Identitätsanbieter
Ihr Anbieter verlangt von Ihnen, dass Sie die Angaben zu Ihrer Anwendung bei ihm registrieren. Einer dieser Schritte umfasst die Angabe eines Umleitungs-URI. Dieser Umleitungs-URI hat das Format <app-url>/.auth/login/<provider-name>/callback. Jeder Identitätsanbieter sollte weitere Anweisungen zum Ausführen dieser Schritte bereitstellen.
Hinweis
Für einige Anbieter sind möglicherweise zusätzliche Schritte für die Konfiguration und die Verwendung der von ihnen bereitgestellten Werte erforderlich. Apple stellt beispielsweise einen privaten Schlüssel bereit, der nicht selbst als OIDC-Clientgeheimnis verwendet wird. Stattdessen müssen Sie damit ein JWT erstellen, das Sie als Geheimnis in der App-Konfiguration bereitstellen. Weitere Informationen hierzu finden Sie im Abschnitt „Creating the Client Secret“ (Erstellen des Clientgeheimnisses) in der Dokumentation zu „Mit Apple anmelden“.
Sie müssen eine Client-ID und einen geheimen Clientschlüssel für Ihre Anwendung erfassen.
Wichtig
Der geheime Clientschlüssel ist eine wichtige Sicherheitsanmeldeinformation. Teilen Sie diesen Schlüssel mit niemandem, und geben Sie ihn nicht über Ihre Anwendung weiter.
Außerdem benötigen Sie die OpenID Connect-Metadaten für den Anbieter. Diese Informationen werden häufig über ein Konfigurationsmetadatendokument, bei dem es sich um die Aussteller-URL des Anbieters mit dem Suffix /.well-known/openid-configuration handelt, verfügbar gemacht. Stellen Sie sicher, dass Sie diese Konfigurations-URL erfassen.
Wenn Sie kein Konfigurationsmetadatendokument verwenden können, müssen Sie die folgenden Werte separat erfassen:
- Die Aussteller-URL (manchmal als
issuerangezeigt) - Den OAuth 2.0-Autorisierungsendpunkt (manchmal als
authorization_endpointangezeigt) - Den OAuth 2.0-Tokenendpunkt (manchmal als
token_endpointangezeigt) - Die URL des Dokuments mit dem OAuth 2.0 JSON Web Key Set (manchmal als
jwks_uriangezeigt)
Hinzufügen von Anbieterinformationen zu Ihrer Anwendung
Melden Sie sich am Azure-Portal an und navigieren Sie zu Ihrer App.
Wählen Sie Authentifizierung im Menü auf der linken Seite. Wählen Sie Identitätsanbieter hinzufügen aus.
Wählen Sie im Dropdownfeld „Identitätsanbieter“ OpenID Connect aus.
Geben Sie den eindeutigen alphanumerischen Namen an, den Sie zuvor für den OpenID-Anbieternamen ausgewählt haben.
Wenn Sie über die URL für das Metadatendokument vom Identitätsanbieter verfügen, geben Sie diesen Wert als Metadaten-URL an. Wählen Sie andernfalls die Option Endpunkte separat bereitstellen aus, und legen Sie jede vom Identitätsanbieter erhaltene URL in das entsprechende Feld ein.
Geben Sie die zuvor erfasste Client-ID und den Geheimen Clientschlüssel in den entsprechenden Feldern an.
Geben Sie einen Anwendungseinstellungsnamen für Ihren geheimen Clientschlüssel an. Ihr geheimer Clientschlüssel wird als Geheimnis in Ihrer Container-App gespeichert.
Klicken Sie auf die Schaltfläche Hinzufügen, um die Einrichtung des Identitätsanbieters fertig zu stellen.
Arbeiten mit authentifizierten Benutzern
In den folgenden Anleitungen erfahren Sie mehr über das Arbeiten mit authentifizierten Benutzern: