יישום אימות ואישור באפליקציות Azure Container

  • 5 דקות

אפליקציות Azure Container מספקות תכונות מוכללות של אימות ומתן הרשאות כדי לאבטח את יישום הגורם המכיל החיצוני שלך התוזמן באמצעות קוד מינימלי או ללא קוד. תכונת האימות המוכללת עבור יישומי גורם מכיל יכולה לחסוך לך זמן ומאמץ על-ידי מתן אימות מוכלל עם ספקי זהויות מאוחדים, דבר המאפשר לך להתמקד בשאר היישום.

  • Azure Container Apps מספק גישה לספקי אימות מוכללים שונים.
  • תכונות האימות המוכללות אינן דורשות שפה, ערכת SDK, מומחיות באבטחה או אפילו קודים שאתה צריך לכתוב.

יש להשתמש בתכונה זו עם HTTPS בלבד. ודא allowInsecure אינה זמינה בתצורה היציאה של יישום הגורם המכיל שלך. באפשרותך לקבוע את התצורה של יישום הגורם המכיל שלך לאימות עם או בלי להגביל גישה לתוכן האתר ולממשקי ה- API של האתר שלך.

  • כדי להגביל גישת יישום רק למשתמשים מאומתים, הגדר את הגדרת הגבלת ל- דרוש אימות.
  • כדי לאמת את הגישה אך לא להגביל אותה, הגדר את ההגדרה הגבל גישה כך שתאפשר לא מאומתת גישה.

ספקי זהויות

יישומי גורם מכיל משתמשים בזהות מאוחדת, שבה ספק זהויות חיצוני מנהל עבורך את זהויות המשתמשים ואת זרימת האימות. ספקי הזהויות הבאים זמינים כברירת מחדל:

ספק נקודת קצה של כניסה How-To אישית
פלטפורמת הזהויות של Microsoft /.auth/login/aad פלטפורמת הזהויות של Microsoft
פייסבוק (Facebook) /.auth/login/facebook פייסבוק
GitHub /.auth/login/github GitHub
Google /.auth/login/google Google
X /.auth/login/twitter X
כל ספק OpenID Connect /.auth/login/<providerName> חיבור OpenID

בעת שימוש באחד מספקים אלה, נקודת הקצה של הכניסה זמינה עבור אימות משתמשים ואימות אסימון אימות מהספק. באפשרותך לספק למשתמשים שלך כל מספר של אפשרויות ספק אלה.

ארכיטקטורת תכונות

רכיב תוכנת הביניים של האימות והאישור הוא תכונה של הפלטפורמה הפועלת כגורמים מכילים של sidecar בכל עותק משוכפל ביישום שלך. כאשר אפשרות זו זמינה, כל בקשת HTTP נכנסת עוברת דרך שכבת האבטחה לפני שהיישום מטפל בה.

דיאגרמה המציגה בקשות שיורטו על-ידי גורם מכיל של sidecar המקיימים אינטראקציה עם ספקי זהויות, לפני מתן אפשרות לתעבורה אל הגורם המכיל של היישום.

תוכנת הביניים של הפלטפורמה מטפלת בכמה דברים עבור האפליקציה שלך:

  • אימות משתמשים והלקוחות עם ספקי הזהויות שצוינו
  • ניהול ההפעלה המורשית
  • הכנסת פרטי זהות לכותרות של בקשות HTTP

מודול האימות וההרשאות פועל בגורמים מכילים נפרדים, מבודדים מקוד היישום שלך. כאשר הגורם המכיל של האבטחה אינו פועל בתהליך, לא ניתן לבצע שילוב ישיר עם מסגרות שפה ספציפיות. עם זאת, המידע הרלוונטי הדרוש לאפליקציה שלך מסופק בכותרות בקשות.

זרימת אימות

זרימת האימות זהה עבור כל הספקים, אך משתנה בהתאם לשאלה אם ברצונך להיכנס באמצעות ה- SDK של הספק:

  • ללא ספק SDK (זרימה המופנה על-ידי שרת או זרימת שרת): נציגי היישום הכניסה המאוחדת לאפליקציות גורם מכיל. הקצאה היא בדרך כלל המקרה עם יישומי דפדפן, המציג את דף הכניסה של הספק למשתמש.

  • עם ספק SDK (זרימה המופנה על-ידי לקוח או זרימת לקוח): היישום מכניס את המשתמשים לספק באופן ידני ולאחר מכן שולח את אסימון האימות ליישומים מכילים לאימות. גישה זו אופיינית לאפליקציות ללא דפדפן, שלא מציגות את דף הכניסה של הספק למשתמש. דוגמה היא אפליקציה מקורית למכשירים ניידים שגורמת למשתמשים להיכנס באמצעות ערכת ה- SDK של הספק.