Habilitación de la autenticación y autorización en Azure Container Apps con un proveedor de OpenID Connect personalizado
En este artículo se muestra cómo configurar Azure Container Apps para usar un proveedor de autenticación personalizado que cumpla con las especificaciones de OpenID Connect. OpenID Connect (OIDC) es un estándar del sector ampliamente adoptado por muchos proveedores de identidades (IDP). No es necesario comprender los detalles de las especificaciones para configurar la aplicación para que use un IDP que cumpla dichas especificaciones.
Puede configurar la aplicación para que use uno o varios proveedores de OIDC. Cada uno debe tener un nombre alfanumérico único en la configuración y solo uno puede actuar como destino de redirección predeterminado.
Registro de la aplicación con el proveedor de identidades
Su proveedor le exige que registre los datos de su aplicación con él. Uno de estos pasos implica especificar un URI de redirección. Este URI de redirección tiene el formato <app-url>/.auth/login/<provider-name>/callback. Cada proveedor de identidades debe proporcionar más instrucciones sobre cómo completar estos pasos.
Nota
Algunos proveedores pueden requerir pasos adicionales para su configuración y para usar los valores que proporcionan. Por ejemplo, Apple proporciona una clave privada que no se usa como secreto de cliente de OIDC y, en su lugar, se debe usar para crear un token JWT que se trata como el secreto que se proporciona en la configuración de la aplicación (consulte la sección "Creación del secreto de cliente" de la documentación para iniciar sesión con Apple)
Debe recopilar un id. de cliente y un secreto de cliente para su aplicación.
Importante
El secreto del cliente es una credencial de seguridad crítica. No comparta este secreto con nadie ni lo distribuya en una aplicación cliente.
Además, necesita los metadatos de OpenID Connect para el proveedor. Esta información suele exponerse a través de un documento de metadatos de configuración, que es la URL del emisor del proveedor con el sufijo /.well-known/openid-configuration. Asegúrese de recopilar esta dirección URL de configuración.
Si no puede usar un documento de metadatos de configuración, deberá reunir los siguientes valores por separado:
- La URL del emisor (a veces se muestra como
issuer) - El punto de conexión de autorización de OAuth 2.0 (a veces se muestra como
authorization_endpoint) - El punto de conexión de token de OAuth 2.0 (a veces se muestra como
token_endpoint) - La URL del documento de conjunto de claves web JSON de OAuth 2.0 (a veces se muestra como
jwks_uri)
Adición de información de un proveedor a su aplicación
Inicie sesión en Azure Portal y vaya a la aplicación.
Seleccione Autenticación en el menú de la izquierda. Seleccione Agregar el proveedor de identidades.
Seleccione OpenID Connect en el menú desplegable del proveedor de identidades.
Proporcione el nombre alfanumérico único seleccionado anteriormente como nombre del proveedor de OpenID.
Si tiene la dirección URL del documento de metadatos del proveedor de identidades, proporcione ese valor en URL de metadatos. De lo contrario, seleccione la opción Provide endpoints separately (Proporcionar puntos de conexión por separado) y coloque cada dirección URL recopilada del proveedor de identidades en el campo adecuado.
Proporcione los valores de Id. de cliente y Secreto de cliente recopilados anteriormente en los campos adecuados.
Especifique un nombre de configuración de aplicación para el secreto de cliente. Su secreto de cliente se almacena como secreto en su aplicación contenedora.
Presione el botón Agregar para terminar de configurar el proveedor de identidades.
Trabajar con usuarios autenticados
Use las guías siguientes para obtener detalles sobre cómo trabajar con usuarios autenticados.
- Personalización del inicio y cierre de sesión
- Acceso a notificaciones de usuario en el código de la aplicación