Benutzerdefinierte Authentifizierung in Azure Static Web Apps

Azure Static Web Apps bietet verwaltete Authentifizierung, die von Azure verwaltete Anbieterregistrierungen verwendet. Um mehr Flexibilität bei der Registrierung zu ermöglichen, können Sie die Standardwerte mit einer benutzerdefinierten Registrierung überschreiben.

• Mit der benutzerdefinierten Authentifizierung können Sie auch benutzerdefinierte Anbieter konfigurieren, die OpenID Connect unterstützen. Diese Konfiguration ermöglicht die Registrierung mehrerer externer Anbieter.

• Wenn Sie benutzerdefinierte Registrierungen verwenden, werden alle vorkonfigurierten Anbieter deaktiviert.

Hinweis

Die benutzerdefinierte Authentifizierung ist nur im Azure Static Web Apps-Standardplan verfügbar.

Konfigurieren eines benutzerdefinierten Identitätsanbieters

Benutzerdefinierte Identitätsanbieter werden im Abschnitt auth der Konfigurationsdatei konfiguriert.

Um zu vermeiden, dass Geheimnisse in die Quellcodeverwaltung aufgenommen werden, sucht die Konfiguration in den Anwendungseinstellungen nach einem übereinstimmenden Namen in der Konfigurationsdatei. Sie können ihre Geheimnisse auch in Azure Key Vault speichern.

Microsoft Entra ID

Um die Registrierung zu erstellen, müssen Sie zunächst die folgenden Anwendungseinstellungen vornehmen:

Einstellungsname	Wert
AZURE_CLIENT_ID	Die Anwendungs-ID (Client-ID) für die Microsoft Entra-App-Registrierung.
AZURE_CLIENT_SECRET	Der geheime Clientschlüssel für die Microsoft Entra-App-Registrierung.

Verwenden Sie als Nächstes das folgende Beispiel, um den Anbieter in der Konfigurationsdatei zu konfigurieren.

Microsoft Entra-Anbieter sind in zwei verschiedenen Versionen verfügbar. Version 1 definiert userDetailsClaim explizit, wodurch in den Nutzdaten Benutzerinformationen zurückgegeben werden können. Im Gegensatz dazu gibt Version 2 standardmäßig Benutzerinformationen zurück und wird durch v2.0 in der openIdIssuer-URL festgelegt.

Microsoft Entra Version 1

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Stellen Sie sicher, dass Sie ihre Microsoft Entra-Mandanten-ID ersetzen <TENANT_ID> .

Microsoft Entra Version 2

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Stellen Sie sicher, dass Sie ihre Microsoft Entra-Mandanten-ID ersetzen <TENANT_ID> .

Weitere Informationen zum Konfigurieren der Microsoft Entra-ID finden Sie in der Dokumentation zur App-Dienstauthentifizierung/Autorisierung zur Verwendung einer vorhandenen Registrierung.

Informationen zum Konfigurieren, welche Konten sich anmelden können, finden Sie unter Ändern der von einer Anwendung unterstützten Konten, und beschränken Sie Ihre Microsoft Entra-App auf eine Gruppe von Benutzern in einem Microsoft Entra-Mandanten.

Hinweis

Während der Konfigurationsabschnitt für Die Microsoft Entra-ID lautet azureActiveDirectory, werden die Plattformalias aad in den URLs zum Anmelden, Abmelden und Löschen von Benutzerinformationen verwendet. Weitere Informationen finden Sie im Abschnitt Authentifizierung und Autorisierung.

Apple

Um die Registrierung zu erstellen, müssen Sie zunächst die folgenden Anwendungseinstellungen vornehmen:

Einstellungsname	Wert
APPLE_CLIENT_ID	Die ID des Apple-Clients.
APPLE_CLIENT_SECRET	Der geheime Apple-Clientschlüssel.

Verwenden Sie als Nächstes das folgende Beispiel, um den Anbieter in der Konfigurationsdatei zu konfigurieren.

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Weitere Informationen zum Konfigurieren von Apple als Authentifizierungsanbieter finden Sie in der Dokumentation zur App Service-Authentifizierung/-Autorisierung.

Facebook

Um die Registrierung zu erstellen, müssen Sie zunächst die folgenden Anwendungseinstellungen vornehmen:

Einstellungsname	Wert
FACEBOOK_APP_ID	Die ID der Facebook-Anwendung.
FACEBOOK_APP_SECRET	Das Facebook-Anwendungsgeheimnis.

Verwenden Sie als Nächstes das folgende Beispiel, um den Anbieter in der Konfigurationsdatei zu konfigurieren.

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET"
        }
      }
    }
  }
}

Weitere Informationen zum Konfigurieren von Facebook als Authentifizierungsanbieter finden Sie in der Dokumentation zur App Service-Authentifizierung/-Autorisierung.

GitHub

Um die Registrierung zu erstellen, müssen Sie zunächst die folgenden Anwendungseinstellungen vornehmen:

Einstellungsname	Wert
GITHUB_CLIENT_ID	Die ID des GitHub-Clients.
GITHUB_CLIENT_SECRET	Der geheime GitHub-Clientschlüssel.

Verwenden Sie als Nächstes das folgende Beispiel, um den Anbieter in der Konfigurationsdatei zu konfigurieren.

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET"
        }
      }
    }
  }
}

Google

Um die Registrierung zu erstellen, müssen Sie zunächst die folgenden Anwendungseinstellungen vornehmen:

Einstellungsname	Wert
GOOGLE_CLIENT_ID	Die ID des Google-Clients.
GOOGLE_CLIENT_SECRET	Der geheime Google-Clientschlüssel.

Verwenden Sie als Nächstes das folgende Beispiel, um den Anbieter in der Konfigurationsdatei zu konfigurieren.

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Weitere Informationen zum Konfigurieren von Google als Authentifizierungsanbieter finden Sie in der Dokumentation zur App Service-Authentifizierung/-Autorisierung.

Twitter

Um die Registrierung zu erstellen, müssen Sie zunächst die folgenden Anwendungseinstellungen vornehmen:

Einstellungsname	Wert
TWITTER_CONSUMER_KEY	Der Twitter-Consumerschlüssel.
TWITTER_CONSUMER_SECRET	Das Twitter-Consumergeheimnis.

Verwenden Sie als Nächstes das folgende Beispiel, um den Anbieter in der Konfigurationsdatei zu konfigurieren.

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "TWITTER_CONSUMER_KEY",
          "consumerSecretSettingName": "TWITTER_CONSUMER_SECRET"
        }
      }
    }
  }
}

Weitere Informationen zum Konfigurieren von Twitter als Authentifizierungsanbieter finden Sie in der Dokumentation zur App Service-Authentifizierung/-Autorisierung.

OpenID Connect

Sie können Azure Static Web Apps für die Verwendung eines benutzerdefinierten Authentifizierungsanbieters konfigurieren, der die OpenID Connect-Spezifikation (OIDC) einhält. Die folgenden Schritte sind erforderlich, um einen benutzerdefinierten OIDC-Anbieter zu verwenden.

• Ein oder mehrere OIDC-Anbieter sind zulässig.
• Jeder Anbieter muss über einen eindeutigen Namen in der Konfiguration verfügen.
• Nur ein Anbieter kann als Standardumleitungsziel dienen.

Registrieren Ihrer Anwendung beim Identitätsanbieter

Sie müssen die Details Ihrer Anwendung bei einem Identitätsanbieter registrieren. Fragen Sie den Anbieter nach den Schritten, die zum Generieren einer Client-ID und eines geheimen Clientschlüssels für Ihre Anwendung erforderlich sind.

Nachdem die Anwendung beim Identitätsanbieter registriert wurde, erstellen Sie die folgenden Anwendungsgeheimnisse in den Anwendungseinstellungen der statischen Web-App:

Einstellungsname	Wert
MY_PROVIDER_CLIENT_ID	Die Client-ID, die vom Authentifizierungsanbieter für Ihre statische Web-App generiert wurde.
MY_PROVIDER_CLIENT_SECRET	Der geheime Clientschlüssel, der vom Authentifizierungsanbieter für Ihre statische Web-App generiert wurde.

Wenn Sie zusätzliche Anbieter registrieren, benötigt jeder Anbieter eine zugeordnete Client-ID und einen Speicher für geheime Clientschlüssel in den Anwendungseinstellungen.

Wichtig

Anwendungsgeheimnisse sind vertrauliche Sicherheitsanmeldeinformationen. Teilen Sie dieses Geheimnis mit niemandem, verteilen Sie es in keiner Clientanwendung, und checken Sie es nicht in die Quellcodeverwaltung ein.

Sobald Sie über die Anmeldeinformationen für die Registrierung verfügen, erstellen Sie mithilfe der folgenden Schritte eine benutzerdefinierte Registrierung.

1. Sie benötigen die OpenID Connect-Metadaten für den Anbieter. Diese Informationen werden häufig über ein Konfigurationsmetadatendokument zur Verfügung gestellt, bei dem es sich um die Aussteller-URL des Anbieters mit dem Suffix /.well-known/openid-configuration handelt. Erfassen Sie diese Konfigurations-URL.

2. Fügen Sie der Konfigurationsdatei einen auth-Abschnitt mit einem Konfigurationsblock für die OIDC-Anbieter und Ihre Anbieterdefinition hinzu.

   {
     "auth": {
       "identityProviders": {
         "customOpenIdConnectProviders": {
           "myProvider": {
             "registration": {
               "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
               "clientCredential": {
                 "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET"
               },
               "openIdConnectConfiguration": {
                 "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
               }
             },
             "login": {
               "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
               "scopes": [],
               "loginParameterNames": []
             }
           }
         }
       }
     }
   }
   

• Der Anbietername, in diesem Beispiel myProvider, ist der eindeutige Bezeichner, der von Azure Static Web Apps verwendet wird.
• Stellen Sie sicher, <PROVIDER_ISSUER_URL> durch den Pfad zur Aussteller-URL des Anbieters zu ersetzen.
• Mit dem login-Objekt können Sie Werte für benutzerdefinierte Bereiche, Anmeldeparameter oder benutzerdefinierte Ansprüche angeben.

Authentifizierungsrückrufe

Identitätsanbieter benötigen zur Ausführung von Anmeldungs- oder Abmeldungsanforderungen eine Umleitungs-URL. Die meisten Anbieter erfordern, dass Sie die Rückruf-URLs einer Zulassungsliste hinzufügen. Die folgenden Endpunkte sind als Umleitungsziele verfügbar.

Typ	URL-Muster
Anmelden	https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback
Logout	https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback

Wenn Sie Die Microsoft Entra-ID verwenden, verwenden Sie aad sie als Wert für den <PROVIDER_NAME_IN_CONFIG> Platzhalter.

Hinweis

Diese URLs werden von Azure Static Web Apps bereitgestellt, um die Antwort vom Authentifizierungsanbieter zu empfangen. Sie müssen keine Seiten auf diesen Routen erstellen.

Anmeldung, Abmeldung und Benutzerdetails

Um einen benutzerdefinierten Identitätsanbieter zu verwenden, verwenden Sie die folgenden URL-Muster.

Aktion	Muster
Anmelden	/.auth/login/<PROVIDER_NAME_IN_CONFIG>
Logout	/.auth/logout
Benutzerdetails	/.auth/me
Bereinigen von Benutzerdetails	/.auth/purge/<PROVIDER_NAME_IN_CONFIG>

Wenn Sie Die Microsoft Entra-ID verwenden, verwenden Sie aad sie als Wert für den <PROVIDER_NAME_IN_CONFIG> Platzhalter.

Rollen verwalten

Jeder Benutzer, der auf eine statische Web-App zugreift, gehört mindestens einer Rolle an. Benutzer können zwei integrierten Rollen angehören:

• anonym: Alle Benutzer gehören automatisch zur anonymen Rolle.
• authenticated: Alle Benutzer, die angemeldet sind, gehören der Rolle authenticated an.

Zusätzlich zu den integrierten Rollen können Sie Benutzern benutzerdefinierte Rollen zuweisen und in der Datei staticwebapp.config.json darauf verweisen.

Einladungen

Hinzufügen eines Benutzers zu einer Rolle

Um einen Benutzer zu einer Rolle hinzuzufügen, generieren Sie Einladungen, mit denen Sie Benutzer bestimmten Rollen zuordnen können. Rollen werden in der Datei staticwebapp.config.json definiert und verwaltet.

Einladung erstellen

Einladungen gelten spezifisch für einzelne Autorisierungsanbieter. Aus diesem Grund sollten Sie die Anforderungen Ihrer App beachten, wenn Sie die zu unterstützenden Anbieter auswählen. Einige Anbieter legen die E-Mail-Adresse eines Benutzers offen, während andere nur den Benutzernamen für die Website angeben.

Autorisierungsanbieter	Verfügbar gemacht
Microsoft Entra ID	E-Mail-Adresse
GitHub	username
Twitter	username

Führen Sie die folgenden Schritte aus, um eine Einladung zu erstellen.

1. Navigieren Sie im Azure-Portal zu einer Static Web Apps-Ressource.
2. Wählen Sie unter Einstellungen die Option Rollenverwaltung aus.
3. Wählen Sie Einladen aus.
4. Wählen Sie in der Liste mit den Optionen den Eintrag Autorisierungsanbieter aus.
5. Fügen Sie im Feld Invitee details (Details zum Eingeladenen) den Benutzernamen oder die E-Mail-Adresse des Empfängers hinzu.
   • Geben Sie bei GitHub und Twitter den Benutzernamen ein. Geben Sie für alle anderen Anbieter die E-Mail-Adresse des Empfängers ein.
6. Wählen Sie im Dropdownmenü Domäne die Domäne Ihrer statischen Website aus.
   • Die von Ihnen ausgewählte Domäne ist die Domäne, die in der Einladung angezeigt wird. Falls Ihrer Website eine benutzerdefinierte Domäne zugeordnet ist, wählen Sie die benutzerdefinierte Domäne aus.
7. Fügen Sie im Feld Rolle eine Liste mit Rollennamen (durch Kommas getrennt) ein.
8. Geben Sie die Anzahl von Stunden für die maximale Gültigkeitsdauer der Einladung ein.
   • Die Obergrenze beträgt 168 Stunden (sieben Tage).
9. Wählen Sie Generieren aus.
10. Kopieren Sie den Link aus dem Feld Einladungslink.
11. Senden Sie eine E-Mail mit dem Einladungslink an den Benutzer, dem Sie Zugriff gewähren möchten.

Wenn der Benutzer in der Einladung den Link auswählt, wird er aufgefordert, sich mit seinem entsprechenden Konto anzumelden. Nach der erfolgreichen Anmeldung wird der Benutzer den ausgewählten Rollen zugeordnet.

Achtung

Stellen Sie sicher, dass Ihre Routenregeln nicht in Konflikt mit Ihren ausgewählten Authentifizierungsanbietern stehen. Wenn ein Anbieter durch eine Routenregel blockiert wird, können Benutzer keine Einladungen akzeptieren.

Aktualisieren von Rollenzuweisungen

1. Navigieren Sie im Azure-Portal zu einer Static Web Apps-Ressource.
2. Wählen Sie unter Einstellungen die Option Rollenverwaltung aus.
3. Wählen Sie den Benutzer aus der Liste aus.
4. Bearbeiten Sie die Liste mit den Rollen im Feld Rolle.
5. Wählen Sie Update.

Benutzer entfernen

1. Navigieren Sie im Azure-Portal zu einer Static Web Apps-Ressource.
2. Wählen Sie unter Einstellungen die Option Rollenverwaltung aus.
3. Suchen Sie in der Liste nach dem Benutzer.
4. Aktivieren Sie das Kontrollkästchen in der Zeile des Benutzers.
5. Klicken Sie auf Löschen.

Beachten Sie beim Entfernen eines Benutzers Folgendes:

• Wenn ein Benutzer entfernt wird, werden seine Berechtigungen ungültig.
• Die weltweite Verteilung kann einige Minuten dauern.
• Wenn der Benutzer wieder der App hinzugefügt wird, ändert sich die userId.

Funktion (Vorschau)

Anstatt des integrierten Einladungssystems können Sie eine serverlose Funktion verwenden, um Benutzern bei der Anmeldung programmgesteuert Rollen zuzuweisen.

Um benutzerdefinierte Rollen in einer Funktion zuzuweisen, können Sie eine API-Funktion definieren, die nach jeder erfolgreichen Authentifizierung eines Benutzers bei einem Identitätsanbieter automatisch aufgerufen wird. Der Funktion werden die Benutzerinformationen vom Anbieter übergeben. Sie muss eine Liste benutzerdefinierter Rollen zurückgeben, die dem Benutzer zugewiesen werden.

Beispiele für die Verwendung dieser Funktion sind:

• Abfragen einer Datenbank, um zu bestimmen, welche Rollen einem Benutzer zugewiesen werden sollen
• Aufrufen der Microsoft Graph-API, um die Rollen eines Benutzers basierend auf seiner Active Directory-Gruppenmitgliedschaft zu bestimmen
• Bestimmen der Rollen eines Benutzers basierend auf Ansprüchen, die vom Identitätsanbieter zurückgegeben werden

Hinweis

Die Möglichkeit, Rollen über eine Funktion zuzuweisen, ist nur verfügbar, wenn die benutzerdefinierte Authentifizierung konfiguriert ist.

Wenn dieses Feature aktiviert ist, werden alle über das integrierte Einladungssystem zugewiesenen Rollen ignoriert.

Konfigurieren einer Funktion zum Zuweisen von Rollen

Um Azure Static Web Apps für die Verwendung einer API-Funktion als Funktion für die Zuweisung von Rollen zu konfigurieren, fügen Sie dem Abschnitt auth der Konfigurationsdatei Ihrer App eine rolesSource-Eigenschaft hinzu. Der Wert der rolesSource-Eigenschaft ist der Pfad zur API-Funktion.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

Hinweis

Nach der Konfiguration kann von externen HTTP-Anforderungen nicht mehr auf die Rollenzuweisungsfunktion zugegriffen werden.

Erstellen einer Funktion zum Zuweisen von Rollen

Nachdem Sie die rolesSource-Eigenschaft in der Konfiguration Ihrer App definiert haben, fügen Sie in Ihrer statischen Web-App unter dem angegebenen Pfad eine API-Funktion hinzu. Sie können eine verwaltete Funktions-App oder eine eigene Funktions-App verwenden.

Jedes Mal, wenn sich ein Benutzer erfolgreich bei einem Identitätsanbieter authentifiziert, ruft die POST-Methode die angegebene Funktion auf. Der Funktion übergibt im Anforderungstext ein JSON-Objekt, das die Informationen des Benutzers vom Anbieter enthält. Bei einigen Identitätsanbietern enthalten die Benutzerinformationen auch ein accessToken-Objekt, das die Funktion verwenden kann, um API-Aufrufe mit der Benutzeridentität vorzunehmen.

Sehen Sie sich die folgende Beispielnutzlast aus der Microsoft Entra-ID an:

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

Die Funktion kann anhand der Benutzerinformationen bestimmen, welche Rollen dem Benutzer zugewiesen werden sollen. Sie muss eine HTTP 200-Antwort mit einem JSON-Text zurückgeben, der eine Liste benutzerdefinierter Rollennamen enthält, die dem Benutzer zugewiesen werden sollen.

Um dem Benutzer z. B. die Rollen Reader und Contributor zuzuweisen, geben Sie die folgende Antwort zurück:

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

Wenn Sie dem Benutzer keine weiteren Rollen zuweisen möchten, geben Sie ein leeres roles-Array zurück.

Weitere Informationen finden Sie unter Tutorial: Zuweisen von benutzerdefinierten Rollen mit einer Funktion und Microsoft Graph.

Nächste Schritte

Programmgesteuertes Festlegen von Benutzerrollen