Az App Service vagy az Azure Functions alkalmazás konfigurálása a Microsoft Entra bejelentkezési funkció használatára
Válassza ki a másik hitelesítési szolgáltatót, hogy ráugorjon.
Ez a cikk bemutatja, hogyan konfigurálhatja a hitelesítést a Azure-alkalmazás Szolgáltatáshoz vagy az Azure Functionshez, hogy az alkalmazás a Microsoft Identitásplatform (Microsoft Entra ID) azonosítóval jelentkezzen be a felhasználókba hitelesítésszolgáltatóként.
Az App Service-hitelesítés funkció automatikusan létrehozhat alkalmazásregisztrációt a Microsoft Identitásplatform. Használhat olyan regisztrációt is, amelyet Ön vagy egy címtáradminisztrátor külön hoz létre.
Feljegyzés
Az új regisztráció automatikus létrehozására szolgáló lehetőség nem érhető el a kormányzati felhőkben vagy a [Microsoft Entra ID for customers (preview)] használata esetén. Ehelyett külön definiáljon egy regisztrációt.
1. lehetőség: Új alkalmazásregisztráció automatikus létrehozása
Ezt a lehetőséget csak akkor használja, ha külön kell létrehoznia egy alkalmazásregisztrációt. Az alkalmazásregisztrációt a létrehozás után testre szabhatja a Microsoft Entra-azonosítóban.
Jelentkezzen be az Azure Portalra , és lépjen az alkalmazáshoz.
Válassza a hitelesítés lehetőséget a bal oldali menüben. Válassza az Identitásszolgáltató hozzáadása lehetőséget.
Válassza a Microsoftot az identitásszolgáltató legördülő listájában. Az új regisztráció létrehozásának lehetősége alapértelmezés szerint be van jelölve. Módosíthatja a regisztráció nevét vagy a támogatott fióktípusokat.
A rendszer létrehoz és tárol egy ügyfélkulcsot egy pont-ragadós alkalmazásbeállításként.
MICROSOFT_PROVIDER_AUTHENTICATION_SECRET
Ezt a beállítást később frissítheti a Key Vault-hivatkozások használatára, ha az Azure Key Vaultban szeretné kezelni a titkos kulcsokat.Ha ez az első identitásszolgáltató, amely konfigurálva van az alkalmazáshoz, a rendszer egy App Service-hitelesítési beállításokat tartalmazó szakaszt is kérni fog. Ellenkező esetben továbbléphet a következő lépésre.
Ezek a beállítások határozzák meg, hogy az alkalmazás hogyan reagál a nem hitelesített kérelmekre, és az alapértelmezett beállítások átirányítják az összes kérést az új szolgáltatóval való bejelentkezéshez. Ezt a viselkedést most módosíthatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési képernyőn a Hitelesítés beállításai melletti Szerkesztés gombra kattintva. További információ ezekről a lehetőségekről: Hitelesítési folyamat.
(Nem kötelező) Válassza a Tovább elemet : Engedélyek és az alkalmazás által igényelt Microsoft Graph-engedélyek hozzáadása. Ezek hozzá lesznek adva az alkalmazásregisztrációhoz, de később is módosíthatja őket.
Válassza a Hozzáadás lehetőséget.
Most már készen áll a Microsoft Identitásplatform használatára az alkalmazásban való hitelesítéshez. A szolgáltató megjelenik a Hitelesítés képernyőn. Innen szerkesztheti vagy törölheti ezt a szolgáltatói konfigurációt.
Az Azure Storage-hoz és a Microsoft Graphhoz hozzáférő webalkalmazáshoz való Microsoft Entra-bejelentkezés konfigurálására vonatkozó példaért tekintse meg ezt az oktatóanyagot.
2. lehetőség: Külön létrehozott meglévő regisztráció használata
Az App Service-hitelesítés konfigurálható meglévő alkalmazásregisztráció használatára. A meglévő alkalmazásregisztráció használatának leggyakoribb esetei a következő helyzetek:
- A fiókja nem rendelkezik engedélyekkel alkalmazásregisztrációk létrehozásához a Microsoft Entra-bérlőben.
- Egy másik Microsoft Entra-bérlőtől származó alkalmazásregisztrációt szeretne használni, mint amelyikben az alkalmazás található.
- Az új regisztráció létrehozásának lehetősége nem érhető el a kormányzati felhők számára.
1. lépés: Alkalmazásregisztráció létrehozása a Microsoft Entra-azonosítóban az App Service-alkalmazáshoz
Az alkalmazásregisztráció létrehozása során gyűjtse össze a következő információkat, amelyekre később szüksége lesz, amikor konfigurálja a hitelesítést az App Service-alkalmazásban:
- Ügyfél azonosítója
- Bérlőazonosító
- Titkos ügyfélkód (nem kötelező, de ajánlott)
- Alkalmazásazonosító URI
Az alkalmazásregisztráció létrehozására vonatkozó utasítások attól függenek, hogy munkaerő-bérlőt vagy ügyfél-bérlőt használ-e. Az alábbi fülekkel kiválaszthatja a forgatókönyvhöz megfelelő utasításokat.
Az alkalmazás regisztrálásához hajtsa végre a következő lépéseket:
Jelentkezzen be az Azure Portalra, keresse meg és válassza ki az App Servicest, majd válassza ki az alkalmazást. Jegyezze fel az alkalmazás URL-címét. Ezzel konfigurálhatja a Microsoft Entra-alkalmazásregisztrációt.
Keresse meg a bérlőt a portálon:
A portál menüjében válassza a Microsoft Entra-azonosítót. Ha a használt bérlő eltér az App Service-alkalmazás konfigurálásához használt bérlőtől, először módosítania kell a könyvtárakat .
Az "Áttekintés" képernyőn jegyezze fel a bérlőazonosítót és az elsődleges tartományt.
A bal oldali navigációs sávon válassza a Alkalmazásregisztrációk> New regisztrációt.
Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.
A támogatott fióktípusokban válassza ki az alkalmazáshoz hozzáférő fióktípust.
Az Átirányítási URI-k szakaszban válassza a Web lehetőséget a platformhoz, és írja be a kívánt szöveget
<app-url>/.auth/login/aad/callback
. Például:https://contoso.azurewebsites.net/.auth/login/aad/callback
.Válassza ki a pénztárgépet.
Az alkalmazásregisztráció létrehozása után másolja ki később az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját .
A bal oldali navigációs sávon válassza a Hitelesítés lehetőséget. Az Implicit engedélyezési és hibrid folyamatok területen engedélyezze az azonosító jogkivonatokat, hogy engedélyezze az OpenID Csatlakozás felhasználói bejelentkezéseket az App Service-ből. Válassza a Mentés lehetőséget.
(Nem kötelező) A bal oldali navigációs sávon válassza a Védjegyzés > tulajdonságok lehetőséget. A kezdőlap URL-címében adja meg az App Service-alkalmazás URL-címét, és válassza a Mentés lehetőséget.
A bal oldali navigációs sávon válassza az API-fájl>hozzáadása>mentésének felfedése lehetőséget. Ez az érték egyedileg azonosítja az alkalmazást, amikor erőforrásként használják, lehetővé téve a hozzáférést biztosító jogkivonatok lekérését. A létrehozott hatókörök előtagjaként használatos.
Egybérlős alkalmazások esetében használhatja az alapértelmezett értéket, amely az űrlapon
api://<application-client-id>
található. Egy olvashatóbb URI-t is megadhat, példáulhttps://contoso.com/api
a bérlő egyik ellenőrzött tartománya alapján. Több-bérlős alkalmazások esetén egyéni URI-t kell megadnia. Az alkalmazásazonosító URI-k által elfogadott formátumokról az alkalmazásregisztrációk ajánlott eljárásainak hivatkozásában talál további információt.Válassza a Hatókör hozzáadása lehetőséget.
- A Hatókör neve mezőbe írja be a user_impersonation.
- Ha engedélyezni szeretné a felhasználók számára a hatókörhöz való hozzájárulást, válassza ki a Rendszergazda és a felhasználókat.
- A szövegmezőkbe írja be a hozzájárulási hatókör nevét és leírását, amelyet a felhasználók látni szeretnének a hozzájárulási lapon. Adja meg például az Access-alkalmazás <nevét>.
- Válassza a Hatókör hozzáadása lehetőséget.
(Nem kötelező) Ügyfélkód létrehozása:
- A bal oldali navigációs sávon válassza a Tanúsítványok > titkos ügyfélkulcsok>új ügyféltitkot.>
- Adja meg a leírást és a lejáratot, majd válassza a Hozzáadás lehetőséget.
- Az Érték mezőben másolja ki az ügyfél titkos kódjának értékét. A lapról való navigálás után nem jelenik meg újra.
(Nem kötelező) Több válasz URL-cím hozzáadásához válassza a Hitelesítés lehetőséget.
Az alkalmazásregisztráció beállításának befejezése:
A munkaerő-bérlőhöz nincs szükség további lépésekre.
2. lépés: A Microsoft Entra-azonosító engedélyezése az App Service-alkalmazásban
Jelentkezzen be az Azure Portalra , és lépjen az alkalmazáshoz.
A bal oldali navigációs sávon válassza a Hitelesítés>hozzáadása identitásszolgáltató>Microsoft lehetőséget.
Válassza ki a létrehozott alkalmazásregisztráció bérlőtípusát .
Konfigurálja az alkalmazást a létrehozott regisztráció használatára a megfelelő bérlőtípus utasításaival:
Alkalmazásregisztrációs típus esetén válasszon az alábbiak közül:
- Válasszon egy meglévő alkalmazásregisztrációt ebben a könyvtárban: Válasszon egy alkalmazásregisztrációt az aktuális bérlőből, és automatikusan gyűjtse össze a szükséges alkalmazásadatokat. A rendszer megpróbál létrehozni egy új ügyfélkulcsot az alkalmazásregisztrációhoz, és automatikusan konfigurálja az alkalmazást a használatára. Az alapértelmezett kiállítói URL-cím az alkalmazásregisztrációban konfigurált támogatott fióktípusok alapján van beállítva. Ha módosítani szeretné ezt az alapértelmezett beállítást, tekintse meg az alábbi táblázatot.
- Adja meg egy meglévő alkalmazásregisztráció részleteit: Adja meg egy másik bérlőtől származó alkalmazásregisztráció részleteit, vagy ha a fiókja nem rendelkezik engedéllyel az aktuális bérlőben a regisztrációk lekérdezéséhez. Ebben a beállításban manuálisan kell kitöltenie a konfigurációs értékeket az alábbi táblázat szerint.
A munkaerő-bérlő hitelesítési végpontjának a felhőkörnyezetre jellemző értéknek kell lennie. Egy globális Azure-beli munkaerő-bérlő például a "https://login.microsoftonline.com" hitelesítési végpontként. Jegyezze fel a hitelesítési végpont értékét, mivel a megfelelő kiállítói URL-cím létrehozásához szükséges.
Amikor közvetlenül kitölti a konfiguráció részleteit, használja az alkalmazásregisztrációs létrehozási folyamat során gyűjtött értékeket:
Mező Leírás Alkalmazás (ügyfél) azonosítója Használja az alkalmazásregisztráció alkalmazás-(ügyfél-) azonosítóját . Titkos ügyfélkulcs Használja az alkalmazásregisztrációban létrehozott ügyféltitkot. Az ügyfél titkos kódjával a rendszer hibrid folyamatot használ, és az App Service hozzáférési és frissítési jogkivonatokat ad vissza. Ha az ügyfélkulcs nincs beállítva, az implicit folyamatot használja a rendszer, és csak egy azonosító jogkivonatot ad vissza. Ezeket a jogkivonatokat a szolgáltató küldi el, és az App Service hitelesítési jogkivonat-tárolójában tárolja. Kiállító URL-címe Használja <authentication-endpoint>/<tenant-id>/v2.0
és cserélje le <a hitelesítési végpontot> a bérlőtípus és a felhőkörnyezet előző lépésében meghatározott hitelesítési végpontra, és cserélje le< a bérlőazonosítót> az alkalmazásregisztrációt tartalmazó címtár-(bérlői) azonosítóra. Az Azure AD v1-et használó alkalmazások esetében hagyja ki/v2.0
az URL-címet.
Ez az érték arra szolgál, hogy átirányítsa a felhasználókat a megfelelő Microsoft Entra-bérlőre, valamint letöltse a megfelelő metaadatokat a megfelelő jogkivonat-aláíró kulcsok és jogkivonat-kiállító jogcímértékének meghatározásához. A bérlőspecifikus végponttól eltérő konfigurációk több-bérlősként lesznek kezelve. Több-bérlős konfigurációkban a rendszer nem ellenőrzi a kiállító vagy a bérlő azonosítóját, és ezeket az ellenőrzéseket teljes mértékben kezelnie kell az alkalmazás engedélyezési logikájában.Engedélyezett jogkivonat-célközönségek A mező nem kötelező. A konfigurált alkalmazás (ügyfél) azonosítója mindig implicit módon engedélyezett célközönségnek minősül. Ha az alkalmazás olyan API-t jelöl, amelyet más ügyfelek fognak meghívni, akkor hozzá kell adnia az alkalmazásregisztrációhoz konfigurált alkalmazásazonosító URI-t is. Az engedélyezett célközönségek listájában legfeljebb 500 karakter lehet. Az ügyfél titkos kódja egy pont-ragadós alkalmazásbeállításként
MICROSOFT_PROVIDER_AUTHENTICATION_SECRET
lesz tárolva. Ezt a beállítást később frissítheti a Key Vault-hivatkozások használatára, ha az Azure Key Vaultban szeretné kezelni a titkos kulcsokat.Ha ez az első identitásszolgáltató, amely konfigurálva van az alkalmazáshoz, a rendszer egy App Service-hitelesítési beállításokat tartalmazó szakaszt is kérni fog. Ellenkező esetben továbbléphet a következő lépésre.
Ezek a beállítások határozzák meg, hogy az alkalmazás hogyan reagál a nem hitelesített kérelmekre, és az alapértelmezett beállítások átirányítják az összes kérést az új szolgáltatóval való bejelentkezéshez. Ezt a viselkedést most módosíthatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési képernyőn a Hitelesítés beállításai melletti Szerkesztés gombra kattintva. További információ ezekről a lehetőségekről: Hitelesítési folyamat.
Válassza a Hozzáadás lehetőséget.
Most már készen áll a Microsoft Identitásplatform használatára az alkalmazásban való hitelesítéshez. A szolgáltató megjelenik a Hitelesítés képernyőn. Innen szerkesztheti vagy törölheti ezt a szolgáltatói konfigurációt.
Kérelmek engedélyezése
Alapértelmezés szerint az App Service-hitelesítés csak a hitelesítést kezeli, és megállapítja, hogy a hívó ki mondja őket. Az engedélyezés, annak meghatározása, hogy a hívónak hozzáféréssel kell-e rendelkeznie egy erőforráshoz, további lépés a hitelesítésen túl. Ezekről a fogalmakról az Microsoft Identitásplatform engedélyezési alapjaiból tudhat meg többet.
Az alkalmazás kódban hozhat engedélyezési döntéseket. Az App Service-hitelesítés bizonyos beépített ellenőrzéseket biztosít, amelyek segíthetnek, de nem feltétlenül elegendőek az alkalmazás engedélyezési igényeinek kielégítéséhez.
Tipp.
A több-bérlős alkalmazásoknak a folyamat részeként ellenőriznie kell a kérés kiállítóját és bérlőazonosítóját, hogy az értékek engedélyezve legyenek. Ha az App Service-hitelesítés több-bérlős forgatókönyvhöz van konfigurálva, nem ellenőrzi, hogy melyik bérlőtől származik a kérés. Előfordulhat, hogy egy alkalmazásnak adott bérlőkre kell korlátozódnia, attól függően, hogy a szervezet regisztrált-e például a szolgáltatásra. Tekintse meg a Microsoft Identitásplatform több-bérlős útmutatót.
Érvényesítések végrehajtása alkalmazáskódból
Amikor engedélyezési ellenőrzéseket végez az alkalmazáskódban, az App Service Authentication által elérhető jogcímadatokat használhatja. Az injektált x-ms-client-principal
fejléc egy Base64 kódolású JSON-objektumot tartalmaz, amely a hívóra vonatkozó jogcímeket tartalmazza. Alapértelmezés szerint ezek a jogcímek egy jogcímleképezésen mennek keresztül, így előfordulhat, hogy a jogcímnevek nem mindig egyeznek a jogkivonatban látható névvel. A jogcím például tid
erre van megfeleltetve http://schemas.microsoft.com/identity/claims/tenantid
.
A mögöttes hozzáférési jogkivonattal közvetlenül is dolgozhat az injektált x-ms-token-aad-access-token
fejlécből.
Beépített engedélyezési szabályzat használata
A létrehozott alkalmazásregisztráció hitelesíti a Microsoft Entra-bérlő bejövő kéréseit. Alapértelmezés szerint a bérlőn belül bárki hozzáférhet az alkalmazáshoz, ami sok alkalmazás esetében rendben van. Egyes alkalmazásoknak azonban az engedélyezési döntések meghozatalával tovább kell korlátozniuk a hozzáférést. Az alkalmazáskód gyakran a legjobb hely az egyéni engedélyezési logika kezeléséhez. Gyakori forgatókönyvek esetén azonban a Microsoft Identitásplatform beépített ellenőrzéseket biztosít, amelyekkel korlátozhatja a hozzáférést.
Ez a szakasz bemutatja, hogyan engedélyezheti a beépített ellenőrzéseket az App Service hitelesítési V2 API-val. Jelenleg a beépített ellenőrzések konfigurálásának egyetlen módja az Azure Resource Manager-sablonok vagy a REST API.
Az API-objektumon belül a Microsoft Entra identitásszolgáltató konfigurációja tartalmaz egy szakaszt validation
, amely az alábbi struktúrához hasonlóan tartalmazhat objektumot defaultAuthorizationPolicy
:
{
"validation": {
"defaultAuthorizationPolicy": {
"allowedApplications": [],
"allowedPrincipals": {
"identities": []
}
}
}
}
Tulajdonság | Leírás |
---|---|
defaultAuthorizationPolicy |
Az alkalmazás eléréséhez teljesítendő követelmények csoportosítása. A hozzáférés az egyes konfigurált tulajdonságok logikai alapján történik AND . Amikor allowedApplications és allowedPrincipals mindkettő konfigurálva van, a bejövő kérésnek mindkét követelménynek meg kell felelnie ahhoz, hogy elfogadhassa. |
allowedApplications |
Az alkalmazásba behívó ügyfélerőforrást képviselő sztringalkalmazás-ügyfélazonosítók engedélyezési listája. Ha ez a tulajdonság egyetlen tömbként van konfigurálva, csak a listában megadott alkalmazás által beszerzett jogkivonatok lesznek elfogadva. Ez a szabályzat kiértékeli a appid bejövő jogkivonatot vagy azp jogcímet, amelynek hozzáférési jogkivonatnak kell lennie. Tekintse meg a Microsoft Identitásplatform jogcímek hivatkozását. |
allowedPrincipals |
Az ellenőrzések csoportosítása, amelyek meghatározzák, hogy a bejövő kérés által képviselt tag hozzáfér-e az alkalmazáshoz. allowedPrincipals Az elégedettség a konfigurált tulajdonságokon alapuló logikai OR értékeken alapul. |
identities (alatt allowedPrincipals ) |
A hozzáféréssel rendelkező felhasználókat vagy alkalmazásokat képviselő sztringobjektum-azonosítók engedélyezési listája. Ha ez a tulajdonság egyetlen tömbként van konfigurálva, a allowedPrincipals követelmény akkor teljesíthető, ha a kérelem által képviselt felhasználó vagy alkalmazás szerepel a listában. Az identitások listájában legfeljebb 500 karakter lehet.Ez a szabályzat kiértékeli a oid bejövő jogkivonat jogcímét. Tekintse meg a Microsoft Identitásplatform jogcímek hivatkozását. |
Emellett néhány ellenőrzés konfigurálható alkalmazásbeállítással, függetlenül attól, hogy milyen API-verziót használ. Az WEBSITE_AUTH_AAD_ALLOWED_TENANTS
alkalmazásbeállítás legfeljebb 10 bérlőazonosító vesszővel tagolt listájával konfigurálható (pl. A "559a2f9c-c6f2-4d31-b8d6-5ad1a13f8330,5693f64a-3ad5-4be7-b846-e9d1141bcebcebc") megköveteli, hogy a bejövő jogkivonat a jogcím által tid
megadott egyik megadott bérlőtől származzon. Az WEBSITE_AUTH_AAD_REQUIRE_CLIENT_SERVICE_PRINCIPAL
alkalmazásbeállítás "true" vagy "1" értékre konfigurálható, hogy a bejövő jogkivonatnak tartalmaznia kell egy jogcímet oid
. Ez a beállítás figyelmen kívül lesz hagyva, és igazként lesz kezelve, ha allowedPrincipals.identities
konfigurálva van (mivel a oid
jogcímet a megadott identitáslistán ellenőrzi a rendszer).
A beépített ellenőrzések sikertelen kérései HTTP-választ 403 Forbidden
kapnak.
Ügyfélalkalmazások konfigurálása az App Service eléréséhez
A korábbi szakaszokban regisztrálta az App Service-t vagy az Azure-függvényt a felhasználók hitelesítéséhez. Ez a szakasz bemutatja, hogyan regisztrálhat natív ügyfeleket vagy démonalkalmazásokat a Microsoft Entra-azonosítóban, hogy hozzáférést kérhessenek az App Service által a felhasználók vagy maguk nevében közzétett API-khoz, például egy N szintű architektúrában. Ha csak a felhasználókat szeretné hitelesíteni, nem szükséges elvégeznie a szakasz lépéseit.
Natív ügyfélalkalmazás
Regisztrálhat natív ügyfeleket, hogy hozzáférést kérjen az App Service-alkalmazás API-ihoz egy bejelentkezett felhasználó nevében.
A portál menüjében válassza a Microsoft Entra-azonosítót.
A bal oldali navigációs sávon válassza a Alkalmazásregisztrációk> New regisztrációt.
Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.
Az Átirányítási URI-ban válassza a Nyilvános ügyfél (mobil & asztali) lehetőséget, és írja be az URL-címet
<app-url>/.auth/login/aad/callback
. Például:https://contoso.azurewebsites.net/.auth/login/aad/callback
.Válassza ki a pénztárgépet.
Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítójának értékét.
Feljegyzés
Microsoft Store-alkalmazások esetén használja inkább a csomag SID-ét URI-ként.
A bal oldali navigációs sávon válassza az API-engedélyeket>: Engedély>hozzáadása saját API-khoz.
Válassza ki az App Service-alkalmazáshoz korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáadta a user_impersonation hatókört az App Service-alkalmazásHoz tartozó Alkalmazásregisztráció létrehozása a Microsoft Entra-azonosítóban.
A Delegált engedélyek területen válassza a user_impersonation, majd az Engedélyek hozzáadása lehetőséget.
Most már konfigurált egy natív ügyfélalkalmazást, amely hozzáférést kérhet az App Service-alkalmazáshoz egy felhasználó nevében.
Démonügyfél-alkalmazás (szolgáltatásközi hívások)
Az N szintű architektúrákban az ügyfélalkalmazás jogkivonatot szerezhet be egy App Service- vagy függvényalkalmazás meghívásához az ügyfélalkalmazás nevében (nem egy felhasználó nevében). Ez a forgatókönyv olyan nem interaktív démonalkalmazások esetében hasznos, amelyek bejelentkezett felhasználó nélkül hajtanak végre feladatokat. A szabványos OAuth 2.0 ügyfél-hitelesítő adatokat használja.
- A portál menüjében válassza a Microsoft Entra-azonosítót.
- A bal oldali navigációs sávon válassza a Alkalmazásregisztrációk> New regisztrációt.
- Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.
- Démonalkalmazás esetén nincs szükség átirányítási URI-ra, hogy üresen tarthassa azt.
- Válassza ki a pénztárgépet.
- Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítójának értékét.
- A bal oldali navigációs sávon válassza a Tanúsítványok > titkos ügyfélkulcsok>új ügyféltitkot.>
- Adja meg a leírást és a lejáratot, majd válassza a Hozzáadás lehetőséget.
- Az Érték mezőben másolja ki az ügyfél titkos kódjának értékét. A lapról való navigálás után nem jelenik meg újra.
Most már kérheti a hozzáférési jogkivonatot az ügyfélazonosító és az ügyfél titkos kódjával , ha a paramétert resource
a célalkalmazás alkalmazásazonosítójának URI-jára állítja. Az eredményül kapott hozzáférési jogkivonat ezután a szabványos OAuth 2.0 engedélyezési fejléc használatával jeleníthető meg a célalkalmazás számára, és az App Service-hitelesítés a szokásos módon érvényesíti és használja a jogkivonatot, hogy a hívó (ebben az esetben egy alkalmazás, nem felhasználó) hitelesítve legyen.
Ez jelenleg lehetővé teszi , hogy a Microsoft Entra-bérlőben lévő ügyfélalkalmazások hozzáférési jogkivonatot kérjenek, és hitelesítsék magukat a célalkalmazásban. Ha azt is szeretné, hogy az engedélyezés csak bizonyos ügyfélalkalmazások engedélyezését engedélyezze, további konfigurációt kell végrehajtania.
- Adjon meg egy alkalmazásszerepkört az alkalmazásregisztráció jegyzékében, amely a védeni kívánt App Service- vagy függvényalkalmazást jelöli.
- A engedélyezni kívánt ügyfelet képviselő alkalmazásregisztrációban válassza az API-engedélyeket>: Engedély>hozzáadása Saját API-k.
- Válassza ki a korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáadott egy alkalmazásszerepkört.
- Az Alkalmazásengedélyek területen válassza ki a korábban létrehozott alkalmazásszerepkört, majd válassza az Engedélyek hozzáadása lehetőséget.
- Győződjön meg arról, hogy a rendszergazdai hozzájárulás megadását választva engedélyezi az ügyfélalkalmazásnak az engedély kérését.
- Az előző forgatókönyvhöz hasonlóan (a szerepkörök hozzáadása előtt) most már kérhet hozzáférési jogkivonatot ugyanahhoz a célhoz
resource
, és a hozzáférési jogkivonat tartalmazzaroles
az ügyfélalkalmazás számára engedélyezett alkalmazásszerepköröket tartalmazó jogcímet. - A cél App Service- vagy függvényalkalmazás-kódon belül ellenőrizheti, hogy a várt szerepkörök szerepelnek-e a jogkivonatban (ezt az App Service-hitelesítés nem hajtja végre). További információ: Access felhasználói jogcímek.
Most már konfigurált egy démonügyfél-alkalmazást, amely a saját identitásával férhet hozzá az App Service-alkalmazáshoz.
Ajánlott eljárások
A hitelesítés beállításához használt konfigurációtól függetlenül az alábbi ajánlott eljárások védik bérlője és alkalmazásai biztonságát:
- Konfiguráljon minden App Service-alkalmazást annak saját alkalmazásregisztrációjával a Microsoft Entra-azonosítóban.
- Adja meg minden App Service-alkalmazásnak a saját engedélyeit és hozzájárulását.
- Kerülje a környezetek közötti engedélymegosztást, használjon külön alkalmazásregisztrációkat a külön üzembehelyezési pontokhoz. Új kód tesztelése során ez a gyakorlat segíthet megelőzni az éles alkalmazást érintő problémákat.
Migrálás a Microsoft Graphra
Előfordulhat, hogy egyes régebbi alkalmazások az elavult Azure AD Graph függőségével lettek beállítva, amely a teljes kivonásra van ütemezve. Előfordulhat például, hogy az alkalmazás kódja Azure AD Graph-ot hívott, hogy ellenőrizze a csoporttagságokat egy köztes szoftverfolyamat engedélyezési szűrőjének részeként. Az alkalmazásoknak az Azure AD Graph elavulásának folyamata során a Microsoft Entra ID által biztosított útmutatást követve kell a Microsoft Graph-ra váltaniuk. Az utasításokat követve előfordulhat, hogy módosítania kell az App Service-hitelesítés konfigurációját. Miután hozzáadta a Microsoft Graph-engedélyeket az alkalmazásregisztrációhoz, a következőket teheti:
Frissítse a kiállító URL-címét , hogy tartalmazza a "/v2.0" utótagot, ha még nem tette meg.
Távolítsa el az Azure AD Graph-engedélyekre vonatkozó kéréseket a bejelentkezési konfigurációból. A módosítani kívánt tulajdonságok a használt felügyeleti API melyik verziójától függnek:
- Ha a V1 API-t (
/authsettings
) használja, az aadditionalLoginParams
tömbben lesz. - Ha a V2 API-t (
/authsettingsV2
) használja, az aloginParameters
tömbben lesz.
El kell távolítania például az ";"https://graph.windows.net" kifejezésre mutató hivatkozásokat. Ez magában foglalja a
resource
paramétert (amelyet a "/v2.0" végpont nem támogat) vagy azOkat a hatóköröket, amelyeket kifejezetten az Azure AD Graph-ból kér.Emellett frissítenie kell a konfigurációt az alkalmazásregisztrációhoz beállított új Microsoft Graph-engedélyek lekéréséhez. Az .default hatókörrel sok esetben egyszerűsítheti ezt a beállítást. Ehhez adjon hozzá egy új bejelentkezési paramétert
scope=openid profile email https://graph.microsoft.com/.default
.- Ha a V1 API-t (
Ezekkel a módosításokkal, amikor az App Service-hitelesítés megpróbál bejelentkezni, a továbbiakban nem kér engedélyeket az Azure AD Graphhoz, hanem egy jogkivonatot kap a Microsoft Graphhoz. A jogkivonatnak az alkalmazáskódból való bármilyen használatát is frissíteni kell a Microsoft Entra ID által biztosított útmutatásnak megfelelően.