Todentamisen ja valtuutuksen käyttöönotto Azure-säilösovelluksissa
Azure-säilösovellukset tarjoavat valmiita todennus- ja valtuutusominaisuuksia, joilla voit suojata ulkoisen ingressiä käyttävän säilösovelluksesi mahdollisimman vähäisellä koodilla tai ilman sitä. Säilösovellusten sisäinen todennusominaisuus voi säästää aikaa ja vaivaa tarjoamalla valmiin todennuksen yhdistettyjen tunnistetietojen tarjoajien kanssa, jolloin voit keskittyä muuhun sovellukseesi.
- Azure-säilösovellukset tarjoavat käyttöoikeuden eri sisäisiin todennuksen tarjoajiin.
- Sisäiset todennusominaisuudet eivät edellytä mitään tiettyä kieltä, SDK:ta, suojausosaamista tai edes koodia, joka sinun tarvitsee kirjoittaa.
Tätä ominaisuutta tulee käyttää vain HTTPS:n kanssa. Varmista, allowInsecure on poistettu käytöstä säilösovelluksen sisäänkäyntimäärityksessä. Voit määrittää säilösovelluksesi todennusta varten sivuston sisällön ja ohjelmointirajapintojen käyttöoikeuksia rajoittamatta.
- Jos haluat rajoittaa sovelluksen käytön vain todennetuille käyttäjille, määritä sen Rajoita käyttöoikeuksia -asetukseksi Edellytä todentamista.
- Jos haluat todentaa tai olla rajoittamatta käyttöoikeutta, määritä sen Rajoita käyttöoikeuksia -asetuksen arvoksi Salli todentamattomat käyttö.
Tunnistetietopalvelut
Säilösovellukset käyttää yhdistettyjä käyttäjätietoja, joissa kolmannen osapuolen tunnistetietopalvelu hallitsee käyttäjätietoja ja todentamisen työnkulkua puolestasi. Seuraavat tunnistetietopalvelut ovat oletusarvoisesti käytettävissä:
| Toimittaja | Sisäänkirjautumisen päätepiste | How-To ohjeita |
|---|---|---|
| Microsoftin käyttäjätietoympäristö | /.auth/login/aad |
Microsoft identity Platform |
| Facebook-sivut | /.auth/login/facebook |
Facebook- |
| GitHub | /.auth/login/github |
GitHub |
/.auth/login/google |
Google :n | |
| X | /.auth/login/twitter |
X |
| Mikä tahansa OpenID-yhteyspalvelu | /.auth/login/<providerName> |
OpenID Connect |
Kun käytät jotakin näistä palveluntarjoajista, sisäänkirjautumisen päätepiste on käyttäjien todentamisen ja todennustunnuksen vahvistuksen käytettävissä palveluntarjoajalta. Voit antaa käyttäjillesi minkä tahansa määrän näitä palveluvaihtoehtoja.
Ominaisuuksien arkkitehtuuri
Todentamisen ja valtuutuksen väliohjelmiston osa on ominaisuus käyttöympäristössä, joka toimii sivukonttisäilönä jokaisessa sovelluksen replikassa. Kun se on käytössä, jokainen saapuva HTTP-pyyntö läpäisee suojaustason ennen kuin sovelluksesi käsittelee ne.
Alustan väliohjelmisto käsittelee useita asioita sovelluksellesi:
- Todentaa määritetyn tunnistetietopalvelun käyttäjät ja asiakkaat
- Hallitsee todennettua istuntoa
- Lisää käyttäjätiedot HTTP-pyynnön otsikkoihin
Todentamis- ja valtuutusmoduuli suoritetaan erillisessä säilössä, joka on eristetty sovelluskoodistasi. Koska suojaussäilö ei toimi prosessissa, suoraa integrointia tiettyihin kielikehyksiin ei ole mahdollista. Sovelluksesi tarvitsemat olennaiset tiedot annetaan kuitenkin pyynnön otsikoissa.
Todentamisen työnkulku
Todennustyönkulku on sama kaikille palveluntarjoajille, mutta se vaihtelee sen mukaan, haluatko kirjautua sisään palveluntarjoajan SDK:lla:
Ilman palveluntarjoajan SDK- (palvelinohjattu työnkulku tai palvelintyönkulku): Sovellus delegoi yhdistettyä kirjautumista säilösovelluksiin. Delegointia käytetään yleensä selainsovelluksissa, jotka esittävät palvelun kirjautumissivun käyttäjälle.
With provider SDK (asiakasohjattu työnkulku tai asiakastyönkulku): Sovellus kirjaa käyttäjät palveluun manuaalisesti ja lähettää sitten todennustunnuksen säilösovelluksiin vahvistusta varten. Tämä lähestymistapa on tyypillinen selainpohjaisille sovelluksille, jotka eivät esitä käyttäjälle palveluntarjoajan kirjautumissivua. Esimerkki on alkuperäinen mobiilisovellus, joka kirjaa käyttäjät sisään palveluntarjoajan SDK:n avulla.