Authentifizierungsszenarien und Empfehlungen
Wenn Sie eine Web-App oder API haben, die in Azure App Service ausgeführt wird, können Sie den Zugriff darauf basierend auf der Identität der Benutzer oder Anwendungen, die sie anfordern, einschränken. App Service bietet mehrere Authentifizierungslösungen, die Ihnen dabei helfen, dieses Ziel zu erreichen. In diesem Artikel erfahren Sie mehr über die verschiedenen Authentifizierungsoptionen, ihre Vor- und Nachteile und welche Authentifizierungslösung für bestimmte Szenarien verwendet werden sollte.
Authentifizierungslösungen
- Integrierte Azure App Service-Authentifizierung: ermöglicht die Anmeldung von Benutzern und den Zugriff auf Daten, indem Sie minimalen oder gar keinen Code in Ihrer Web-App, RESTful-API oder Ihrem mobilen Back-End schreiben. Die Lösung ist direkt in die Plattform integriert, erfordert keine bestimmte Sprache, Bibliothek, Sicherheitskenntnisse und ermöglicht den Verzicht auf Code.
- Microsoft Authentication Library (MSAL): ermöglicht Entwicklern, Sicherheitstoken von der Microsoft Identity Platform zu beziehen, um Benutzer zu authentifizieren und auf abgesicherte Web-APIs zuzugreifen. Diese universellen Bibliotheken sind für mehrere unterstützte Plattformen und Frameworks verfügbar und können in verschiedenen Hostumgebungen verwendet werden. Entwickler können sie auch in mehrere Anmeldungsanbieter wie Microsoft Entra, Facebook, Google und Twitter integrieren.
- Microsoft.Identity.Web: eine übergeordnete MSAL.NET umschließende Bibliothek, die eine Reihe von ASP.NET Core-Abstraktionen bereitstellt. Diese vereinfachen das Hinzufügen von Authentifizierungsunterstützung zu Web-Apps und Web-APIs, die in die Microsoft Identity Platform integriert sind. Sie bietet eine praktische API-Schicht mit nur einer Oberfläche, über die ASP.NET Core, seine Authentifizierungsmiddleware und MSAL.NET miteinander verbunden werden. Diese Bibliothek kann in Apps in verschiedenen gehosteten Umgebungen eingesetzt werden. Sie können sie in mehrere Anmeldungsanbieter wie Microsoft Entra, Facebook, Google und Twitter integrieren.
Empfehlungen für Szenarien
In der folgenden Tabelle finden Sie eine Liste der einzelnen Authentifizierungslösungen und einige wichtige Hinweise zum Einsatz dieser Lösungen.
| Authentifizierungsmethode | Verwendung |
|---|---|
| Integrierte App Service-Authentifizierung | * Sie möchten weniger Code besitzen und verwalten. * Die Sprache und SDKs Ihrer App bieten keine Benutzeranmeldedaten oder Autorisierung. * Sie können Ihren App-Code nicht ändern (z. B. beim Migrieren von Legacy-Apps). * Sie müssen die Authentifizierung per Konfiguration und nicht per Code handhaben. * Sie müssen externen oder Social Media-Benutzen die Anmeldung ermöglichen. |
| Microsoft Authentication Library (MSAL) | * Sie benötigen eine Codelösung in einer von mehreren Sprachen. * Sie müssen benutzerdefinierte Autorisierungslogik hinzufügen. * Sie müssen inkrementelle Einwilligung unterstützen. * Sie benötigen Informationen zum angemeldeten Benutzer in Ihrem Code. * Sie müssen externen oder Social Media-Benutzen die Anmeldung ermöglichen. * Ihre App muss das Ablaufen des Zugriffstokens handhaben, ohne dass sich der Benutzer erneut anmelden muss. |
| Microsoft.Identity.Web | * Sie haben eine ASP.NET Core-App. * Sie benötigen Unterstützung für einmaliges Anmelden in Ihrer IDE während der lokalen Entwicklung. * Sie müssen benutzerdefinierte Autorisierungslogik hinzufügen. * Sie müssen inkrementelle Einwilligung unterstützen. * Sie benötigen in Ihrer Web-App bedingten Zugriff. * Sie benötigen Informationen zum angemeldeten Benutzer in Ihrem Code. * Sie müssen externen oder Social Media-Benutzen die Anmeldung ermöglichen. * Ihre App muss das Ablaufen des Zugriffstokens handhaben, ohne dass sich der Benutzer erneut anmelden muss. |
In der folgenden Tabelle sind Authentifizierungsszenarien und die mögliche Authentifizierungslösungen aufgeführt.
| Szenario | Integrierte App Service-Authentifizierung | Microsoft Authentication Library (MSAL) | Microsoft.Identity.Web |
|---|---|---|---|
| Benötigen Sie eine schnelle und einfache Möglichkeit, den Zugriff auf Benutzer in Ihrer Organisation einzuschränken? | ✅ | ❌ | ❌ |
| Lässt sich der Anwendungscode nicht ändern (Anwendungsmigrationsszenario)? | ✅ | ❌ | ❌ |
| Unterstützen Sprache und Bibliotheken Ihrer App die Anmeldung/Autorisierung des Benutzers? | ❌ | ✅ | ✅ |
| Selbst wenn Sie eine Codelösung verwenden können, würden Sie Bibliotheken lieber nicht verwenden? Möchten Sie auf den Wartungsaufwand verzichten? | ✅ | ❌ | ❌ |
| Muss Ihre Web-App inkrementelle Einwilligung bereitstellen? | ❌ | ✅ | ✅ |
| Benötigen Sie in Ihrer Web-App bedingten Zugriff? | ❌ | ❌ | ✅ |
| Muss Ihre App das Ablaufen des Zugriffstokens handhaben, ohne dass sich der Benutzer erneut anmelden muss (durch Verwenden eines Aktualisierungstokens)? | ✅ | ✅ | ✅ |
| Benötigen Sie benutzerdefinierte Autorisierungslogik oder Informationen zum angemeldeten Benutzer? | ❌ | ✅ | ✅ |
| Müssen sich Benutzer mithilfe von externen oder Social Media-Identitätsanbietern anmelden können? | ✅ | ✅ | ✅ |
| Haben Sie eine ASP.NET Core-App? | ✅ | ❌ | ✅ |
| Haben Sie eine Single-Page- oder statische Web-App? | ✅ | ✅ | ✅ |
| Ist Integration in Visual Studio gewünscht? | ❌ | ❌ | ✅ |
| Benötigen Sie Unterstützung für einmaliges Anmelden in Ihrer IDE während der lokalen Entwicklung? | ❌ | ❌ | ✅ |
Nächste Schritte
Informationen zu den ersten Schritten mit der integrierten App Service-Authentifizierung finden Sie unter:
Informationen zu den ersten Schritten mit Microsoft Authentication Library (MSAL) finden Sie unter:
- Hinzufügen von „Mit Microsoft anmelden“ zu einer Web-App
- Nur authentifizierten Benutzern den Zugriff auf eine Web-API erlauben
- Anmelden von Benutzern bei einer Single-Page-Webanwendung (SPA)
Informationen zu den ersten Schritten mit Microsoft.Identity.Web finden Sie unter:
- Anmelden von Benutzern bei einer Web-App
- Schützen einer Web-API
- Anmelden von Benutzern bei einer Blazor Server-App
Weitere Informationen zum Thema In App Service integrierte Authentifizierung und Autorisierung