Compartir vía

Proteja las llamadas de Model Context Protocol a Azure App Service desde Visual Studio Code con la autenticación de Microsoft Entra

En este artículo se muestra cómo proteger el servidor del Protocolo de contexto de modelo (MCP) hospedado en Azure App Service mediante la autenticación de Microsoft Entra. Al habilitar la autenticación, asegúrese de que solo los usuarios autenticados con Microsoft Entra puedan acceder al servidor MCP a través del modo agente de Copilot en Visual Studio Code.

Para conocer otros métodos de autenticación y conceptos generales de seguridad del servidor MCP, consulte Protección de un servidor de protocolo de contexto de modelo en Azure App Service.

Prerrequisitos

Una aplicación de App Service que hospeda un servidor MCP. Si necesita crear una, consulte uno de los siguientes tutoriales:

Habilitar la autenticación de Microsoft Entra

  1. En Azure Portal, vaya a la aplicación de App Service.

  2. En el menú de la izquierda, seleccione Autenticación de configuración> y, a continuación, seleccione Agregar proveedor de identidades.

  3. En la página Agregar un proveedor de identidades , seleccione Microsoft como proveedor de identidades.

  4. En Configuración de autenticación de App Service, para Expiración del secreto de cliente, seleccione un período de expiración (por ejemplo, 6 meses).

  5. Acepte todos los demás valores predeterminados y seleccione Agregar para crear el proveedor de identidades.

    Esto crea un nuevo registro de aplicaciones en Microsoft Entra ID con un secreto de cliente y configura la aplicación de App Service para usarla para la autenticación.

Autorización de Visual Studio Code en la autenticación de App Service

Después de habilitar la autenticación, debe autorizar a Visual Studio Code para acceder al servidor MCP.

  1. En la página Autenticación de la aplicación de App Service, en Proveedor de identidades, seleccione Editar (el icono de lápiz) junto al proveedor de Microsoft que creó.

  2. En la página Editar proveedor de identidades, en Comprobaciones> adicionalesRequisito de aplicación cliente, seleccione Permitir solicitudes de aplicaciones cliente específicas.

  3. Seleccione el widget de lápiz para editar las aplicaciones permitidas.

  4. En el campo Aplicaciones cliente permitidas , agregue el identificador de cliente de Visual Studio Code: aebc6443-996d-45c2-90f0-388ff96faa56.

  5. Seleccione Aceptar y, a continuación, seleccione Guardar.

Autorización de Visual Studio Code en el registro de aplicaciones

A continuación, debe configurar el registro de aplicaciones para exponer la API a Visual Studio Code.

  1. Vuelva a la página Autenticación de la aplicación de App Service.

  2. Seleccione el proveedor de Microsoft en la columna Proveedor de identidades para abrir la página de registro de la aplicación.

  3. En la página de registro de la aplicación, seleccione Administrar>exponer una API en el menú de la izquierda.

  4. En Aplicaciones cliente autorizadas, seleccione Agregar una aplicación cliente.

  5. En el campo Id. de cliente , escriba el identificador de cliente de Visual Studio Code: aebc6443-996d-45c2-90f0-388ff96faa56.

  6. Marque la casilla junto al ámbito user_impersonation para autorizar este ámbito.

  7. Seleccione Agregar una aplicación.

  8. En Ámbitos definidos por esta API, busque y copie el valor de ámbito completo. Debería ser parecido a este: api://<app-registration-app-id>/user_impersonation.

    Necesita este valor de alcance en la próxima sección.

Habilitación de metadatos de recursos protegidos estableciendo el ámbito de autorización

Para habilitar la autorización del servidor MCP, debe configurar los metadatos de recursos protegidos (PRM) estableciendo el ámbito de autorización en una configuración de aplicación. Esto permite a los clientes de MCP detectar los requisitos de autenticación a través del /.well-known/oauth-protected-resource punto de conexión.

  1. En Azure Portal, vuelva a la página de la aplicación de App Service.

  2. En el menú izquierdo, seleccione Configuración Variables> deentorno.

  3. Seleccione Agregar para crear una nueva configuración de aplicación.

  4. En Nombre, escriba WEBSITE_AUTH_PRM_DEFAULT_WITH_SCOPES.

  5. En Valor, pegue el ámbito que copió del registro de la aplicación: api://<app-registration-app-id>/user_impersonation.

  6. Seleccione Aplicar y vuelva a seleccionar Aplicar para confirmar y reiniciar la aplicación.

    Esta configuración configura el PRM para incluir el ámbito necesario para la autorización del servidor MCP.

Conexión desde Visual Studio Code

Ahora puede conectarse al servidor MCP protegido desde Visual Studio Code.

  1. Abra Visual Studio Code en el equipo local.

  2. Abra o cree un archivo de configuración de MCP (mcp.json). Para una configuración de MCP con ámbito de área de trabajo, créela en el directorio .vscode del área de trabajo.

  3. Agregue la configuración del servidor MCP:

    {
  "servers": {
    "my-app-service-mcp": {
      "type": "http",
      "url": "https://<your-app-url>.azurewebsites.net/api/mcp"
    }
  }
}

    Reemplace por <your-app-url> la dirección URL real de la aplicación de App Service. Puede encontrar el dominio predeterminado de la aplicación en la página Información general de Azure Portal. En este ejemplo, la ruta de acceso es /api/mcp, pero la ruta de acceso real depende del código MCP.

  4. En Visual Studio Code, abra la paleta de comandos (Ctrl+Shift+P o Cmd+Shift+P en macOS).

  5. Escriba MCP: Enumerar servidores y presione Entrar.

  6. Seleccione el servidor MCP en la lista y elija Iniciar servidor.

  7. Visual Studio Code le pide automáticamente que inicie sesión con el identificador de Entra de Microsoft. Siga las indicaciones de autenticación.

    La extensión MCP controla el flujo de OAuth mediante el ámbito que configuró y Visual Studio Code obtiene el token de acceso necesario para llamar al servidor MCP.

    Sugerencia

    Si ve un mensaje de autenticación inesperado o encuentra errores, consulte Solución de problemas.

  8. Una vez autenticado, el servidor MCP está conectado y listo para usarse en el modo del agente de Chat de Copilot de GitHub u otros clientes MCP.

Comprobación de la conexión

Para comprobar que el servidor MCP está protegido y accesible correctamente:

  1. Abra Chat de Copilot en GitHub en Visual Studio Code (Ctrl+Alt+I o Cmd+Option+I en macOS).

  2. Pruebe a usar una característica del servidor MCP. Por ejemplo, si está utilizando el ejemplo de Todos:

    Show me all my tasks

  3. GitHub Copilot debería llamar correctamente al servidor MCP y debería ver los resultados en el chat. Si tiene algún problema, consulte Solución de problemas.

Solución de problemas

Al iniciar el servidor MCP en Visual Studio Code, el mensaje de autenticación que ve indica si la configuración es correcta:

  • Configuración correcta: Visual Studio Code le pide que se autentique con Microsoft. Esto significa que los metadatos de recursos protegidos (PRM) están configurados correctamente y Visual Studio Code detectó correctamente el servidor de autorización y el ámbito desde el /.well-known/oauth-protected-resource punto de conexión.

  • Configuración incorrecta: Visual Studio Code le pide que se autentique con un /authorize punto de conexión en la aplicación de App Service (por ejemplo, https://<your-app-url>.azurewebsites.net/authorize). Esto significa que el PRM no está configurado correctamente. Visual Studio Code no encuentra el servidor de autorización y el ámbito de autorización, por lo que vuelve a usar la dirección URL de la aplicación como punto de conexión de autorización, que no existe.

Si ve el mensaje de autenticación incorrecto, compruebe que:

  • La configuración de la aplicación WEBSITE_AUTH_PRM_DEFAULT_WITH_SCOPES está correctamente ajustada con el valor de ámbito completo api://<app-registration-app-id>/user_impersonation.
  • La aplicación de App Service se ha reiniciado completamente después de agregar la configuración de la aplicación. Puede tardar unos minutos en completar el reinicio.

Si ve errores de autenticación después de iniciar sesión, compruebe que:

  • El identificador de cliente de Visual Studio Code (aebc6443-996d-45c2-90f0-388ff96faa56) se agrega a la configuración de autenticación de App Service (aplicaciones cliente permitidas) y en el registro de aplicaciones (aplicaciones cliente autorizadas en Exponer una API).
  • El valor de ámbito de la configuración de la aplicación coincide exactamente con lo que se define en el registro de la aplicación.

Contenido relacionado

  • Last updated on