Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az App Service-hitelesítés lehetővé teszi a Model Context Protocol (MCP) kiszolgálóhoz való hozzáférés szabályozását azáltal, hogy az MCP-ügyfeleknek hitelesítést kell végeznie egy identitásszolgáltatóval. Az alkalmazás megfelelhet az MCP-kiszolgáló engedélyezési specifikációjának a jelen cikkben leírt utasítások követésével.
Fontos
Az MCP-kiszolgáló engedélyezése meghatározza a kiszolgálóhoz való hozzáférést, és nem biztosít részletes vezérlést az egyes MCP-eszközök vagy egyéb szerkezetek számára.
Identitásszolgáltató konfigurálása
Az App Service-hitelesítés konfigurálása identitásszolgáltatóval. Az identitásszolgáltató regisztrációjának egyedinek kell lennie az MCP-kiszolgálón. Ne használja újra a meglévő regisztrációt egy másik alkalmazásösszetevőből.
A regisztráció létrehozásakor jegyezze fel, hogy milyen hatókörök vannak meghatározva a regisztrációban vagy az identitásszolgáltató dokumentációjában.
Védett erőforrás metaadatainak konfigurálása (előzetes verzió)
Az MCP-kiszolgáló engedélyezéséhez a kiszolgálónak védett erőforrás-metaadatokat (PRM) kell üzemeltetni. Az App Service-hitelesítéssel rendelkező PRM támogatása jelenleg előzetes verzióban érhető el.
Az MCP-kiszolgáló PRM-jének konfigurálásához állítsa be az WEBSITE_AUTH_PRM_DEFAULT_WITH_SCOPES alkalmazásbeállítást az alkalmazás hatóköreinek vesszővel tagolt listájára. A szükséges hatóköröket az alkalmazásregisztráció részeként definiáljuk, vagy az identitásszolgáltató dokumentálja. Ha például a Microsoft Entra ID-szolgáltatót használta, és hagyta, hogy az App Service létrehozza a regisztrációt, létre lett hozva egy alapértelmezett hatókör api://<client-id>/user_impersonation . Az értéket WEBSITE_AUTH_PRM_DEFAULT_WITH_SCOPES kell beállítania erre.
MCP-ügyfél szempontjai
A felhasználók bejelentkezéséhez az MCP-ügyfelet regisztrálni kell az identitásszolgáltatónál. Egyes szolgáltatók támogatják a dinamikus ügyfélregisztrációt (DCR), de sokan nem, beleértve a Microsoft Entra-azonosítót is. Ha a DCR nem érhető el, az ügyfelet előre konfigurálni kell egy ügyfélazonosítóval. Az ügyfél- vagy ügyféloldali SDK dokumentációjában megtudhatja, hogyan adhat meg ügyfél-azonosítót.
Entra ID hozzájárulás-szerkesztés
Ha Microsoft Entra-azonosítót használ, megadhatja az ismert ügyfélalkalmazásokat, és előre hitelesítettként megjelölheti őket a hozzáféréshez. lehetőség szerint preauthorizálás javasolt. Előzetes hitelesítés nélkül a felhasználóknak vagy a rendszergazdának hozzá kell járulniuk az MCP-kiszolgáló regisztrációjához és az ahhoz szükséges engedélyekhez.
A felhasználói hozzájárulási forgatókönyvek esetében a hozzájárulás-létrehozás magában foglalja az MCP-ügyfelet, amely interaktív bejelentkezéssel jeleníti meg a hozzájárulási kérést. Előfordulhat, hogy néhány MCP-ügyfél nem jelenít meg interaktív bejelentkezést. Ha például egy MCP-eszközt hoz létre, amelyet a GitHub Copilot használ a Visual Studio Code-ban, az ügyfél megkísérli használni a bejelentkezett felhasználó környezetét, és nem jelenít meg hozzájárulási kérést. Ezekben az esetekben az ügyfélalkalmazás előzetes hitelesítése szükséges a hozzájárulási problémák elkerülése érdekében.
Fejlesztői/tesztelési célokra a felhasználói hozzájárulást saját maga is létrehozhatja, ha közvetlenül egy böngészőben jelentkezik be az alkalmazásba. Navigálás a <your-app-url>/.auth/login/aad oldalra elindítja a bejelentkezési folyamatot, és szükség esetén hozzájárulást kér. Ezután megpróbálhat bejelentkezni egy másik ügyfélről.
AZ MCP-kiszolgáló szempontjai
Az App Service Authentication ellenőrzi az MCP-ügyfelek által biztosított jogkivonatokat, és minden konfigurált engedélyezési szabályzatot alkalmaz, mielőtt válaszol az MCP inicializálási kérésére. Előfordulhat, hogy frissítenie kell az MCP-forgatókönyv engedélyezési szabályait. Ha például a Microsoft Entra ID-szolgáltatót használta, és engedélyezte az App Service számára a regisztráció létrehozását, az alapértelmezett szabályzat csak az alkalmazás által beszerzett jogkivonatokat engedélyezi. Ezért az MCP-ügyfelet hozzáadná az engedélyezett alkalmazások listájához a hitelesítési konfigurációban. További információ: Beépített engedélyezési szabályzat használata.
Az MCP-kiszolgálói keretrendszerek gyakran elvonják az átvitelt, de bizonyos esetekben elérhetővé tehetik a mögöttes HTTP-környezetet. Ha elérhető a HTTP-környezet, hozzáférhet az App Service-hitelesítés által biztosított felhasználói jogcímekhez és egyéb hitelesítési információkhoz .
Caution
Az MCP-kiszolgáló engedélyezéséhez használt jogkivonat az MCP-kiszolgálóhoz való hozzáférést jelenti, nem pedig egy alsóbb rétegbeli erőforráshoz való hozzáférést. A továbbító forgatókönyvek, amikor a kiszolgáló továbbítja a tokenjét, biztonsági rést teremtenek, ezért kerülje ezeket a sémákat. Ha hozzá kell férnie egy további erőforráshoz, szerezze be az új tokent a nevében történő hozzáférési folyamat vagy egy másik explicit delegálási mechanizmuson keresztül.
Kapcsolódó tartalom
- A modell környezeti protokoll engedélyezési specifikációja
- Azure Functions-modell környezeti protokoll kötései
- App Service-alkalmazás integrálása MCP-kiszolgálóként (.NET)
- App Service-alkalmazás integrálása MCP-kiszolgálóként (Java)
- App Service-alkalmazás integrálása MCP-kiszolgálóként (Node.js)
- App Service-alkalmazás integrálása MCP-kiszolgálóként (Python)