Hitelesítés és engedélyezés engedélyezése az Azure Container Appsben a Microsoft Entra-azonosítóval

Ez a cikk bemutatja, hogyan konfigurálhatja az Azure Container Apps hitelesítését, hogy az alkalmazás a Microsoft identitásplatform használatával jelentkezzen be a felhasználókba hitelesítésszolgáltatóként.

A Container Apps-hitelesítés automatikusan létrehozhat alkalmazásregisztrációt a Microsoft identitásplatformjával. Használhat olyan regisztrációt is, amelyet Ön vagy egy címtáradminisztrátor külön hoz létre.

• Új alkalmazásregisztráció automatikus létrehozása
• Külön létrehozott meglévő regisztráció használata

1. lehetőség: Új alkalmazásregisztráció automatikus létrehozása

Ez a beállítás egyszerűvé teszi a hitelesítés engedélyezését, és mindössze néhány lépést igényel.

1. Jelentkezzen be az Azure Portalra , és nyissa meg az alkalmazást.

2. Válassza a Biztonsági>hitelesítés lehetőséget a bal oldali panelen. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

3. Válassza a Microsoftot az identitásszolgáltató listájában. Az új regisztráció létrehozásának lehetősége alapértelmezés szerint be van jelölve. Módosíthatja a regisztráció nevét vagy a támogatott fióktípusokat.

   Az ügyfél titkos kódját a tárolóalkalmazás titkos kódként hozza létre és tárolja.

4. Az Ügyfél titkos kódjának lejárati listájában válasszon ki egy lejárati dátumot.

5. Ha az alkalmazás első identitásszolgáltatóját konfigurálja, megjelenik egy tárolóalkalmazás-hitelesítési beállítások szakasz . Ellenkező esetben továbbléphet a következő lépésre.

   Ezek a beállítások határozzák meg, hogy az alkalmazás hogyan reagál a nem hitelesített kérelmekre. Az alapértelmezett beállítások átirányítják az összes kérést, hogy bejelentkezhessenek ezzel az új szolgáltatóval. Ezt a viselkedést most testre szabhatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési panelen a Hitelesítés beállításai melletti Szerkesztés gombra kattintva. További információ ezekről a lehetőségekről: Hitelesítési folyamat.

6. (Nem kötelező) Válassza a Tovább: Engedélyek elemet, és adja hozzá az alkalmazás által igényelt minden szükséges hatókört. A hatókörök hozzáadódnak az alkalmazásregisztrációhoz, azonban később is módosíthatja őket.

7. Válassza a Hozzáadás lehetőséget.

Most már készen áll a Microsoft Identitásplatform használatára az alkalmazásban való hitelesítéshez. A szolgáltató megjelenik a Hitelesítés panelen. Innen szerkesztheti vagy törölheti ezt a szolgáltatói konfigurációt.

2. lehetőség: Külön létrehozott meglévő regisztráció használata

Manuálisan is regisztrálhatja az alkalmazást a Microsoft Identitásplatform, testre szabhatja a regisztrációt, és konfigurálhatja a Container Apps-hitelesítést a regisztrációs adatokkal. Ez a módszer akkor hasznos, ha olyan Microsoft Entra-bérlőtől származó alkalmazásregisztrációt szeretne használni, amely nem az az alkalmazás, amelyben az alkalmazás definiálva van.

Alkalmazásregisztráció létrehozása a Microsoft Entra-azonosítóban a tárolóalkalmazáshoz

Először hozza létre az alkalmazásregisztrációt. Ennek megfelelően gyűjtse össze a következő információkat, amelyekre később szüksége lesz a tárolóalkalmazásban a hitelesítés konfigurálásakor:

• Ügyfél azonosítója
• Bérlőazonosító
• Titkos ügyfélkód (nem kötelező)
• Alkalmazásazonosító URI

Az alkalmazás regisztrálásához hajtsa végre a következő lépéseket:

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Container Apps alkalmazást, majd válassza ki az alkalmazást. Az Áttekintés panelen jegyezze fel az alkalmazás alkalmazás URL-címét. Ezzel konfigurálhatja a Microsoft Entra-alkalmazásregisztrációt.

3. Válassza a Kezdőlap lehetőséget a portál kezdőlapjára való visszatéréshez. Keresse meg és válassza ki a Microsoft Entra ID-t.

4. Az Áttekintés panelen válassza a Hozzáadás, majd az Alkalmazásregisztráció lehetőséget.

   1. Az Alkalmazás regisztrálása panelen adja meg az alkalmazásregisztráció nevét .

   2. Az Átirányítási URI szakaszban válassza a Web lehetőséget, majd írja be a következőket. Cserélje le \<APP_URL\> a korábban feljegyzett alkalmazás URL-címét.

      <APP_URL>/.auth/login/aad/callback

      Például: https://<CONTAINER_APP_NAME>.<ENVIRONMENT_UNIQUE_ID>.<REGION_NAME>.azurecontainerapps.io/.auth/login/aad/callback

   3. Válassza a Regisztrálás lehetőséget.

   4. A bal oldali panel Kezelés területén válassza a Hitelesítés (előzetes verzió) lehetőséget.

   5. A Beállítások lapon válassza ki a (implicit és hibrid folyamatokhoz használt) azonosító jogkivonatokat , hogy engedélyezze az OpenID Connect felhasználói bejelentkezéseit a Container Appsből. Válassza az Mentésgombot.

5. Nyissa meg az új alkalmazásregisztrációt.

   1. Az Áttekintés panelen másolja ki az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját a későbbiekhez.
   2. (Nem kötelező) Ha még nem adta hozzá az átirányítási URI-t az alkalmazásregisztrációhoz, most már megteheti.

      1. A bal oldali panel Kezelés területén válassza a Hitelesítés (előzetes verzió) lehetőséget.

      2. A Hitelesítés (előzetes verzió) panelen válassza az Átirányítási URI hozzáadása lehetőséget.

      3. A Platform kiválasztása, hogy átirányítási URI-t adjon hozzá panelen válassza a Web lehetőséget.

      4. Az Átirányítási URI hozzáadása panel Átirányítás URI mezőjében adja meg a következőket. Cserélje le \<APP_URL\> a korábban feljegyzett alkalmazás URL-címét.

         <APP_URL>/.auth/login/aad/callback

         Például: https://<CONTAINER_APP_NAME>.<HOSTNAME>.<LOCATION>.azurecontainerapps.io/.auth/login/aad/callback

      5. Válassza a Konfigurálás lehetőséget.

   3. (Nem kötelező) A bal oldali panelon a Kezelés területén válassza a Védjegyzés és tulajdonságok lehetőséget. A Kezdőlap URL-cím mezőjébe írja be a tárolóalkalmazás URL-címét, majd válassza a Mentés lehetőséget.
   4. A bal oldali ablaktáblán a Kezelés csoportban válassza az API-k felfedése lehetőséget.

      1. Válassza a Hozzáadás lehetőséget az alkalmazásazonosító URI-ja mellett.

         Az alkalmazásazonosító URI-ja egyedileg azonosítja az alkalmazást, amikor erőforrásként használják. Lehetővé teszi a kért jogkivonatok számára a hozzáférést. Az értéket az általad létrehozott hatókörök előtagjaként is használják.

         Egybérlős alkalmazások esetében használhatja az alapértelmezett értéket, amely az űrlapon api://<APPLICATION_CLIENT_ID>található. Egy olvashatóbb URI-t is megadhat, például https://contoso.com/apia bérlő egyik ellenőrzött tartománya alapján. Több-bérlős alkalmazásokhoz egyéni URI-t kell megadnia. Az alkalmazásazonosító URI-k elfogadott formátumaival kapcsolatos további információkért tekintse meg a Microsoft Entra ID alkalmazástulajdonságaival kapcsolatos ajánlott biztonsági eljárásokat.

         A rendszer automatikusan menti az értéket.

      2. Válassza a Hatókör hozzáadása lehetőséget.

      3. A Hatókör hozzáadása panelen az alkalmazásazonosító URI-ja az előző lépésben megadott érték.

      4. Válassza a Mentés és folytatás lehetőséget.

      5. A Hatókör neve mezőbe írja be a user_impersonation.

      6. Adja meg a rendszergazdai hozzájárulás megjelenítendő nevét és a rendszergazdai hozzájárulás leírását , amelyet a rendszergazdáknak meg szeretne jeleníteni a hozzájárulási lapon. A hozzájárulás megjelenítendő neve például a Access <alkalmazás-neve>.

      7. Válassza a Hatókör hozzáadása lehetőséget.

   5. A bal oldali panel Kezelés területén válassza a Tanúsítványok > titkos kulcsok lehetőséget.
      1. A Tanúsítványok > titkos kulcsok panelen válassza az Ügyfél titkos kulcsok lehetőséget.
      2. Válassza az Új titkos ügyfélkód lehetőséget.
      3. Adjon meg egy leírást, majd a Lejárat mezőben válasszon ki egy lejárati dátumot.
      4. Válassza a Hozzáadás lehetőséget.
      5. Másolja ki a lapon látható titkos ügyfélkód értékét. A webhely nem jeleníti meg újra.

A Microsoft Entra-azonosító engedélyezése a tárolóalkalmazásban

1. Jelentkezzen be az Azure Portalra , és nyissa meg az alkalmazást.

2. A bal oldali panel Biztonság területén válassza a Hitelesítés lehetőséget. Válassza a Szolgáltató hozzáadása lehetőséget.

3. Válassza a Microsoftot az identitásszolgáltató listájában.

4. Alkalmazásregisztrációs típus esetén választhatja a címtárban meglévő alkalmazásregisztráció kiválasztását, amely automatikusan összegyűjti a szükséges alkalmazásadatokat. Ha a regisztráció egy másik bérlőtől származik, vagy nincs engedélye a regisztrációs objektum megtekintésére, válassza a Meglévő alkalmazásregisztráció adatainak megadása lehetőséget. Ehhez a beállításhoz a következő konfigurációs adatokat kell megadnia:

   Figyelmeztetés

   Ha lehet, kerülje az implicit jogosultságkezelési folyamat használatát. A legtöbb forgatókönyvben biztonságosabb alternatívák érhetők el és ajánlottak. A folyamat bizonyos konfigurációihoz nagy fokú bizalomra van szükség az alkalmazásban, és olyan kockázatokat hordoznak magukban, amelyek más folyamatokban nem jelennek meg. Ezt a folyamatot csak akkor érdemes használni, ha más biztonságosabb folyamatok nem életképesek. További információkért lásd az implicit engedélyezési folyamattal kapcsolatos biztonsági kérdéseket.

   Setting	Leírás
   Alkalmazás (ügyfél) azonosítója	Használja az alkalmazásregisztráció alkalmazás-(ügyfél-) azonosítóját .
   Titkos ügyfélkód	Használja az alkalmazásregisztrációban létrehozott ügyféltitkot. Az ügyfél titkos kódjai hibrid folyamatot használnak, az alkalmazás pedig hozzáférési és frissítési jogkivonatokat ad vissza. Ha az ügyfélkulcs nincs beállítva, az implicit folyamatot használja a rendszer, és csak egy azonosító jogkivonatot ad vissza. A szolgáltató elküldi a jogkivonatokat, melyeket az EasyAuth tokentárolóban tárolnak.
   Kiállító URL-címe	Használja a <AUTHENTICATION-ENDPOINT>/<TENANT-ID>/v2.0. Cserélje le a AUTHENTICATION-ENDPOINT< elemet>a felhőkörnyezet hitelesítési végpontjával (például "https://login.microsoftonline.com" globális Azure-hoz). Cserélje le <a TENANT-ID> azonosítót arra a címtár-(bérlői) azonosítóra, amelyben az alkalmazásregisztráció létrejött. Ez az érték arra szolgál, hogy átirányítsa a felhasználókat a megfelelő Microsoft Entra-bérlőre, és letöltse a metaadatokat a megfelelő jogkivonat-aláíró kulcsok és jogkivonatkibocsátó jogcímértékének meghatározásához. Az Azure Active Directory v1-et használó alkalmazások esetén hagyja ki /v2.0 az URL-címet.
   Engedélyezett token célcsoportok	A konfigurált alkalmazás (ügyfél) azonosítója mindig implicit módon engedélyezett célközönségnek minősül. Ha ez az érték egy felhő- vagy kiszolgálóalkalmazásra vonatkozik, és egy ügyféltároló-alkalmazásból szeretne hitelesítési jogkivonatokat fogadni (a hitelesítési jogkivonat lekérhető a X-MS-TOKEN-AAD-ID-TOKEN fejlécben), adja hozzá ide az ügyfélalkalmazás alkalmazás-(ügyfél-) azonosítóját .

   Az ügyfél titkos kódját titkos kódként tárolja a tárolóalkalmazás.

5. Ha ez az első identitásszolgáltató, amely konfigurálva van az alkalmazáshoz, megjelenik egy Container Apps hitelesítési beállítások szakasz. Ellenkező esetben továbbléphet a következő lépésre.

   Ezek a beállítások határozzák meg, hogy az alkalmazás hogyan reagál a nem hitelesített kérelmekre. Az alapértelmezett beállítások átirányítják az összes kérést az új szolgáltatóval való bejelentkezéshez. Ezt a viselkedést most módosíthatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési panelen a Hitelesítés beállításai melletti Szerkesztés gombra kattintva. További információ ezekről a lehetőségekről: Hitelesítési folyamat.

6. Válassza a Hozzáadás lehetőséget.

Most már készen áll a Microsoft Identitásplatform használatára az alkalmazásban való hitelesítéshez. A szolgáltató megjelenik a Hitelesítés panelen. Innen szerkesztheti vagy törölheti ezt a szolgáltatói konfigurációt.

Ügyfélalkalmazások konfigurálása a tárolóalkalmazás eléréséhez

Az előző szakaszban regisztrálta a tárolóalkalmazást a felhasználók hitelesítéséhez. Ebben a szakaszban natív ügyfél- vagy démonalkalmazásokat regisztrál. Ezután hozzáférést kérhetnek a tárolóalkalmazás által a felhasználók vagy maguk nevében közzétett API-khoz. Ha csak a felhasználókat szeretné hitelesíteni, nem kell elvégeznie a szakasz lépéseit.

Natív ügyfélalkalmazás

Natív ügyfelek regisztrálásával hozzáférést kérhet a tárolóalkalmazás API-jához egy bejelentkezett felhasználó nevében.

1. Az Azure Portalon keresse meg és válassza ki a Microsoft Entra-azonosítót.

2. Az Áttekintés panelen válassza azAlkalmazásregisztráció>.

3. Az Alkalmazás regisztrálása panelen adja meg az alkalmazásregisztráció nevét .

4. Az Átirányítási URI területen válassza a Nyilvános ügyfél (mobil & asztali) lehetőséget, és írja be az URL-címet <app-url>/.auth/login/aad/callback. Például: https://<hostname>.azurecontainerapps.io/.auth/login/aad/callback.

   Feljegyzés

   Microsoft Store-alkalmazások esetén használja inkább a csomag SID-ét URI-ként.

5. Válassza a Regisztrálás lehetőséget.

6. Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítóját .

7. A bal oldali panel Kezelés területén válassza az API-engedélyeket. Válassza aSaját API-k> hozzáadása lehetőséget.

8. Válassza ki a tárolóalkalmazáshoz korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáadta a user_impersonation hatókört a Tárolóalkalmazásához az alkalmazásregisztráció létrehozása során a Microsoft Entra ID-ben.

9. A Delegált engedélyek területen válassza a user_impersonation lehetőséget, majd válassza az Engedélyek hozzáadása lehetőséget.

Démonügyfél-alkalmazás (szolgáltatásközi hívások)

Az alkalmazás token szerezhet be egy konténeralkalmazásban hosztolt webes API hívására saját nevében (nem felhasználó nevében). Ez a forgatókönyv olyan nem interaktív démonalkalmazások esetében hasznos, amelyek bejelentkezett felhasználó nélkül hajtanak végre feladatokat. A szabványos OAuth 2.0 ügyfél-hitelesítő adatokat használja.

1. Az Azure Portalon keresse meg és válassza ki a Microsoft Entra-azonosítót.
2. Az Áttekintés panelen válassza azAlkalmazásregisztráció>.
3. Az Alkalmazás regisztrálása panelen adja meg a démonalkalmazás-regisztráció nevét .
4. Démonalkalmazás esetén nincs szükség átirányítási URI-ra, így a mezőt üresen hagyhatja.
5. Válassza a Regisztrálás lehetőséget.
6. Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítóját .
7. A bal oldali panel Kezelés csoportjában válassza a Tanúsítványok > titkos kódok lehetőséget.
8. A Tanúsítványok > titkos kódok panelen válassza az Új ügyfélkód lehetőséget.
9. Válassza a Hozzáadás lehetőséget az Ügyfél titkos kódjának hozzáadása panelen. Másolja ki a lapon látható titkos ügyfélkód értékét. Nem jelenik meg újra.

Most már kérheti a hozzáférési jogkivonatot az ügyfélazonosító és az ügyfél titkos kódjának használatával , ha a paramétert resource a célalkalmazás alkalmazásazonosítójának URI-jára állítja. Ezután az eredményül kapott hozzáférési jogkivonatot a szabványos OAuth 2.0 engedélyezési fejléc használatával jelenítheti meg a célalkalmazás számára. A Container Apps hitelesítése/engedélyezése a megszokott módon érvényesíti és alkalmazza a jogkivonatot, jelezve, hogy a hívó (ebben az esetben egy alkalmazás, nem pedig egy felhasználó) hitelesítve van.

Ez a folyamat lehetővé teszi, hogy a Microsoft Entra-bérlőben lévő ügyfélalkalmazások hozzáférési jogkivonatot kérjenek, és hitelesítsék magukat a célalkalmazásban. Ha azt is szeretné, hogy az engedélyezés csak bizonyos ügyfélalkalmazásokhoz korlátozza a hozzáférést, módosítania kell a konfigurációt.

1. Adjon meg egy alkalmazásszerepkört az alkalmazásregisztráció jegyzékében, amely a védeni kívánt tárolóalkalmazást jelöli.
2. A engedélyezni kívánt ügyfelet képviselő alkalmazásregisztrációban válassza az API-engedélyek>Hozzáadása engedélyt.
3. A Kérelem API-engedélyek panelen válassza a Saját API-k lehetőséget.
4. Válassza ki a korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáad egy alkalmazásszerepkört.
5. Az Alkalmazásengedélyek területen válassza ki a korábban létrehozott alkalmazásszerepkört, majd válassza az Engedélyek hozzáadása lehetőséget.
6. Győződjön meg arról, hogy a rendszergazdai hozzájárulás megadását választva engedélyezi az ügyfélalkalmazásnak az engedélykérést.
7. Az előző forgatókönyvhöz hasonlóan (a szerepkörök hozzáadása előtt) most is kérhet hozzáférési jogkivonatot ugyanahhoz a célhoz resource. A hozzáférési jogkivonat tartalmaz egy jogcímet roles , amely tartalmazza az ügyfélalkalmazáshoz engedélyezett alkalmazásszerepköröket.
8. A Container Apps célkódjában ellenőrizze, hogy a várt szerepkörök már megtalálhatók-e a tokenben. A Container Apps hitelesítési rétege nem hajtja végre az érvényesítési lépéseket. További információ: Access felhasználói jogcímek.

Hitelesített felhasználók használata

A hitelesített felhasználókkal végzett munkáról az alábbi forrásokból tájékozódhat.

• Bejelentkezés és kijelentkezés testreszabása
• Felhasználói jogcímek elérése az alkalmazáskódban

Következő lépés

Hitelesítés és engedélyezés – áttekintés