Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Azure App Service oder Azure Functions so konfigurieren, dass ein benutzerdefinierter Authentifizierungsanbieter verwendet wird, der der OpenID Connect (OIDC)-Spezifikation entspricht. OIDC ist ein Industriestandard, den viele Identitätsanbieter (IDPs) verwenden. Sie müssen die Details der Spezifikation für Ihre App nicht verstehen, um einen OIDC-Identitätsanbieter zu verwenden.
Ihre App kann für die Verwendung eines oder mehrerer OIDC-Anbieter konfiguriert werden. Jeder Anbieter muss in der Konfiguration einen eindeutigen alphanumerischen Namen haben. Nur ein Anbieter kann als Standardumleitungsziel dienen.
Registrieren Ihrer Anwendung beim Identitätsanbieter
Ihr Anbieter verlangt von Ihnen, dass Sie die Angaben zu Ihrer Anwendung bei ihm registrieren. Einer dieser Schritte umfasst das Angeben eines Umleitungs-URI mit dem Formular <app-url>/.auth/login/<provider-name>/callback
. Jeder Identitätsanbieter sollte weitere Anweisungen zum Ausführen der Schritte bereitstellen. Der <provider-name>
Wert bezieht sich auf den freundlichen Namen, den Sie dem OpenID-Anbieternamen in Azure zuweisen.
Hinweis
Einige Anbieter erfordern möglicherweise zusätzliche Schritte für ihre Konfiguration und für die Verwendung der von ihnen bereitgestellten Werte. Beispielsweise stellt Apple einen privaten Schlüssel bereit, der nicht selbst als geheimer OIDC-Clientschlüssel verwendet wird. Sie verwenden es, um ein JSON-Webtoken (JWT) zu erstellen. Sie verwenden das Webtoken als geheimen Schlüssel, den Sie in Ihrer App-Konfiguration bereitstellen. Weitere Informationen finden Sie unter Erstellen eines geheimen Clientschlüssels.
Sie müssen eine Client-ID und einen geheimen Clientschlüssel für Ihre Anwendung sammeln. Der geheime Client-Schlüssel ist ein wichtiger Sicherheitsnachweis. Teilen Sie dieses Geheimnis nicht mit jemandem oder verteilen Sie es in einer Clientanwendung.
Hinweis
Sie müssen der Konfiguration nur einen geheimen Clientschlüssel bereitstellen, wenn Sie Zugriffstoken für den Benutzer über den interaktiven Anmeldefluss mithilfe des Autorisierungscodeflusses abrufen möchten. Wenn dies nicht der Fall ist, ist das Sammeln eines Geheimnisses nicht erforderlich.
Außerdem benötigen Sie die OIDC-Metadaten für den Anbieter. Diese Metadaten werden häufig in einem Konfigurationsmetadatendokument verfügbar gemacht, bei dem es sich um die Aussteller-URL des Anbieters handelt, die mit /.well-known/openid-configuration
dem Suffix versehen ist. Rufen Sie diese Konfigurations-URL ab.
Wenn Sie kein Konfigurationsmetadatendokument verwenden können, rufen Sie die folgenden Werte separat ab:
- Die Aussteller-URL (manchmal als
issuer
angezeigt) - Der OAuth 2.0-Autorisierungsendpunkt (manchmal als
authorization_endpoint
) - Der OAuth 2.0-Tokenendpunkt (manchmal als
token_endpoint
) - Die URL des OAuth 2.0 JSON Web Key Set-Dokuments (manchmal als
jwks_uri
)
Hinzufügen von Anbieterinformationen zu Ihrer Anwendung
Führen Sie die folgenden Schritte aus, um Anbieterinformationen für Ihren OpenID Connect-Anbieter hinzuzufügen.
Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Ihrer App.
Wählen Sie im linken Menü Einstellungen>Authentifizierung aus. Wählen Sie dann Identitätsanbieter hinzufügen aus.
Wählen Sie für den IdentitätsanbieterOpenID Connect aus.
Geben Sie für den Namen des OpenID-Anbieters den eindeutigen alphanumerischen Namen an, den Sie zuvor ausgewählt haben.
Wenn Sie über die URL für das Metadatendokument vom Identitätsanbieter verfügen, geben Sie diesen Wert für die Metadaten-URL an.
Wählen Sie andernfalls Endpunkte separat bereitstellen aus. Fügen Sie jede URL des Identitätsanbieters in das entsprechende Feld ein.
Geben Sie die Werte an, die Sie zuvor für die Client-ID gesammelt haben. Wenn der geheime Clientschlüssel ebenfalls erfasst wurde, stellen Sie ihn als Teil des Konfigurationsprozesses bereit.
Geben Sie einen Anwendungseinstellungsnamen für Ihren geheimen Clientschlüssel an. Ihr geheimer Clientschlüssel wird als App-Einstellung gespeichert, um sicherzustellen, dass geheime Schlüssel sicher gespeichert werden. Wenn Sie den geheimen Schlüssel im Azure Key Vault verwalten möchten, aktualisieren Sie diese Einstellung später, um Azure Key Vault-Verweise zu verwenden.
Wählen Sie "Hinzufügen" aus, um die Einrichtung des Identitätsanbieters abzuschließen.
Hinweis
Der Name des OpenID-Anbieters darf keinen Bindestrich (-) enthalten, da eine App-Einstellung basierend auf diesem Namen erstellt wird. Die App-Einstellung unterstützt keine Bindestriche. Verwenden Sie stattdessen einen Unterstrich (_).
Außerdem muss der aud
Bereich in Ihrem Token mit der oben konfigurierten Client-ID identisch sein. Derzeit ist es nicht möglich, die zulässigen Benutzergruppen für diesen Anbieter zu konfigurieren.
Azure erfordert openid
, profile
und email
Bereiche. Stellen Sie sicher, dass Sie die App-Registrierung in Ihrem ID-Anbieter mit mindestens diesen Zugriffsbereichen konfigurieren.