Az App Service vagy az Azure Functions alkalmazás konfigurálása a Microsoft Entra bejelentkezési funkció használatára

Válassza ki a másik hitelesítési szolgáltatót, hogy ráugorjon.

• Microsoft Entra ID
• Facebook
• Google
• Twitter
• OpenID Csatlakozás szolgáltató
• Bejelentkezés az Apple-lel (előzetes verzió)

Ez a cikk bemutatja, hogyan konfigurálhatja a hitelesítést a Azure-alkalmazás Szolgáltatáshoz vagy az Azure Functionshez, hogy az alkalmazás a Microsoft Identitásplatform (Microsoft Entra ID) azonosítóval jelentkezzen be a felhasználókba hitelesítésszolgáltatóként.

Az App Service-hitelesítés funkció automatikusan létrehozhat alkalmazásregisztrációt a Microsoft Identitásplatform. Használhat olyan regisztrációt is, amelyet Ön vagy egy címtáradminisztrátor külön hoz létre.

• Új alkalmazásregisztráció automatikus létrehozása
• Külön létrehozott meglévő regisztráció használata

Feljegyzés

Az új regisztráció automatikus létrehozására szolgáló lehetőség nem érhető el a kormányzati felhőkben vagy a [Microsoft Entra ID for customers (preview)] használata esetén. Ehelyett külön definiáljon egy regisztrációt.

1. lehetőség: Új alkalmazásregisztráció automatikus létrehozása

Ezt a lehetőséget csak akkor használja, ha külön kell létrehoznia egy alkalmazásregisztrációt. Az alkalmazásregisztrációt a létrehozás után testre szabhatja a Microsoft Entra-azonosítóban.

1. Jelentkezzen be az Azure Portalra , és lépjen az alkalmazáshoz.

2. Válassza a hitelesítés lehetőséget a bal oldali menüben. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

3. Válassza a Microsoftot az identitásszolgáltató legördülő listájában. Az új regisztráció létrehozásának lehetősége alapértelmezés szerint be van jelölve. Módosíthatja a regisztráció nevét vagy a támogatott fióktípusokat.

   A rendszer létrehoz és tárol egy ügyfélkulcsot egy pont-ragadós alkalmazásbeállításként.MICROSOFT_PROVIDER_AUTHENTICATION_SECRET Ezt a beállítást később frissítheti a Key Vault-hivatkozások használatára, ha az Azure Key Vaultban szeretné kezelni a titkos kulcsokat.

4. Ha ez az első identitásszolgáltató, amely konfigurálva van az alkalmazáshoz, a rendszer egy App Service-hitelesítési beállításokat tartalmazó szakaszt is kérni fog. Ellenkező esetben továbbléphet a következő lépésre.

   Ezek a beállítások határozzák meg, hogy az alkalmazás hogyan reagál a nem hitelesített kérelmekre, és az alapértelmezett beállítások átirányítják az összes kérést az új szolgáltatóval való bejelentkezéshez. Ezt a viselkedést most módosíthatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési képernyőn a Hitelesítés beállításai melletti Szerkesztés gombra kattintva. További információ ezekről a lehetőségekről: Hitelesítési folyamat.

5. (Nem kötelező) Válassza a Tovább elemet : Engedélyek és az alkalmazás által igényelt Microsoft Graph-engedélyek hozzáadása. Ezek hozzá lesznek adva az alkalmazásregisztrációhoz, de később is módosíthatja őket.

6. Válassza a Hozzáadás lehetőséget.

Most már készen áll a Microsoft Identitásplatform használatára az alkalmazásban való hitelesítéshez. A szolgáltató megjelenik a Hitelesítés képernyőn. Innen szerkesztheti vagy törölheti ezt a szolgáltatói konfigurációt.

Az Azure Storage-hoz és a Microsoft Graphhoz hozzáférő webalkalmazáshoz való Microsoft Entra-bejelentkezés konfigurálására vonatkozó példaért tekintse meg ezt az oktatóanyagot.

2. lehetőség: Külön létrehozott meglévő regisztráció használata

Az App Service-hitelesítés konfigurálható meglévő alkalmazásregisztráció használatára. A meglévő alkalmazásregisztráció használatának leggyakoribb esetei a következő helyzetek:

• A fiókja nem rendelkezik engedélyekkel alkalmazásregisztrációk létrehozásához a Microsoft Entra-bérlőben.
• Egy másik Microsoft Entra-bérlőtől származó alkalmazásregisztrációt szeretne használni, mint amelyikben az alkalmazás található.
• Az új regisztráció létrehozásának lehetősége nem érhető el a kormányzati felhők számára.

1. lépés: Alkalmazásregisztráció létrehozása a Microsoft Entra-azonosítóban az App Service-alkalmazáshoz

Az alkalmazásregisztráció létrehozása során gyűjtse össze a következő információkat, amelyekre később szüksége lesz, amikor konfigurálja a hitelesítést az App Service-alkalmazásban:

• Ügyfél azonosítója
• Bérlőazonosító
• Titkos ügyfélkód (nem kötelező, de ajánlott)
• Alkalmazásazonosító URI

Az alkalmazásregisztráció létrehozására vonatkozó utasítások attól függenek, hogy munkaerő-bérlőt vagy ügyfél-bérlőt használ-e. Az alábbi fülekkel kiválaszthatja a forgatókönyvhöz megfelelő utasításokat.

Az alkalmazás regisztrálásához hajtsa végre a következő lépéseket:

1. Jelentkezzen be az Azure Portalra, keresse meg és válassza ki az App Servicest, majd válassza ki az alkalmazást. Jegyezze fel az alkalmazás URL-címét. Ezzel konfigurálhatja a Microsoft Entra-alkalmazásregisztrációt.

2. Keresse meg a bérlőt a portálon:

   Munkaerő-bérlő

   A portál menüjében válassza a Microsoft Entra-azonosítót. Ha a használt bérlő eltér az App Service-alkalmazás konfigurálásához használt bérlőtől, először módosítania kell a könyvtárakat .

   Ügyfélbérl

   1. Ha még nem rendelkezik ügyfélbérlővel, hozzon létre egyet az ügyfélidentitás- és hozzáférés-kezelési (CIAM-) bérlő létrehozása című témakörben található utasításokat követve.

   2. Váltson az Azure Portal címtárára az ügyfélbérlésére.

      Tipp.

      Mivel két bérlői környezetben dolgozik (az előfizetés bérlője és az ügyfél-bérlő), érdemes lehet megnyitnia az Azure Portalt a webböngésző két külön lapján. Mindegyik bejelentkezhető egy másik bérlőbe.

   3. A portál menüjében válassza a Microsoft Entra-azonosítót.

3. Az "Áttekintés" képernyőn jegyezze fel a bérlőazonosítót és az elsődleges tartományt.

4. A bal oldali navigációs sávon válassza a Alkalmazásregisztrációk> New regisztrációt.

5. Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.

6. A támogatott fióktípusokban válassza ki az alkalmazáshoz hozzáférő fióktípust.

7. Az Átirányítási URI-k szakaszban válassza a Web lehetőséget a platformhoz, és írja be a kívánt szöveget<app-url>/.auth/login/aad/callback. Például: https://contoso.azurewebsites.net/.auth/login/aad/callback.

8. Válassza ki a pénztárgépet.

9. Az alkalmazásregisztráció létrehozása után másolja ki később az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját .

10. A bal oldali navigációs sávon válassza a Hitelesítés lehetőséget. Az Implicit engedélyezési és hibrid folyamatok területen engedélyezze az azonosító jogkivonatokat, hogy engedélyezze az OpenID Csatlakozás felhasználói bejelentkezéseket az App Service-ből. Válassza a Mentés lehetőséget.

11. (Nem kötelező) A bal oldali navigációs sávon válassza a Védjegyzés > tulajdonságok lehetőséget. A kezdőlap URL-címében adja meg az App Service-alkalmazás URL-címét, és válassza a Mentés lehetőséget.

12. A bal oldali navigációs sávon válassza az API-fájl>hozzáadása>mentésének felfedése lehetőséget. Ez az érték egyedileg azonosítja az alkalmazást, amikor erőforrásként használják, lehetővé téve a hozzáférést biztosító jogkivonatok lekérését. A létrehozott hatókörök előtagjaként használatos.

    Egybérlős alkalmazások esetében használhatja az alapértelmezett értéket, amely az űrlapon api://<application-client-id>található. Egy olvashatóbb URI-t is megadhat, például https://contoso.com/api a bérlő egyik ellenőrzött tartománya alapján. Több-bérlős alkalmazások esetén egyéni URI-t kell megadnia. Az alkalmazásazonosító URI-k által elfogadott formátumokról az alkalmazásregisztrációk ajánlott eljárásainak hivatkozásában talál további információt.

13. Válassza a Hatókör hozzáadása lehetőséget.

    1. A Hatókör neve mezőbe írja be a user_impersonation.
    2. Ha engedélyezni szeretné a felhasználók számára a hatókörhöz való hozzájárulást, válassza ki a Rendszergazda és a felhasználókat.
    3. A szövegmezőkbe írja be a hozzájárulási hatókör nevét és leírását, amelyet a felhasználók látni szeretnének a hozzájárulási lapon. Adja meg például az Access-alkalmazás <nevét>.
    4. Válassza a Hatókör hozzáadása lehetőséget.

14. (Nem kötelező) Ügyfélkód létrehozása:

    1. A bal oldali navigációs sávon válassza a Tanúsítványok > titkos ügyfélkulcsok>új ügyféltitkot.>
    2. Adja meg a leírást és a lejáratot, majd válassza a Hozzáadás lehetőséget.
    3. Az Érték mezőben másolja ki az ügyfél titkos kódjának értékét. A lapról való navigálás után nem jelenik meg újra.

15. (Nem kötelező) Több válasz URL-cím hozzáadásához válassza a Hitelesítés lehetőséget.

16. Az alkalmazásregisztráció beállításának befejezése:

    Munkaerő-bérlő

    A munkaerő-bérlőhöz nincs szükség további lépésekre.

    Ügyfélbérl

    1. Hozzon létre egy felhasználói folyamatot, amely meghatároz egy hitelesítési felületet, amely megosztható a bérlő alkalmazásregisztrációi között:

       1. Lépjen vissza a bérlőhöz, és válassza a Külső identitások lehetőséget.
       2. (Nem kötelező) Konfigurálja az identitásszolgáltatókat az Összes identitásszolgáltató alatt. Az elérhető lehetőségekről további információt a hitelesítési módszerek és az identitásszolgáltatók az ügyfelek számára című témakörben talál.
       3. Válassza ki a Felhasználói folyamatok>új felhasználói folyamatot.
       4. Adjon meg egy nevet( például "SignUpSignIn"), majd válassza ki az ebben a folyamatban használni kívánt identitásszolgáltatókat és felhasználói attribútumokat. Ha elkészült, válassza a Létrehozás lehetőséget.

       Ezeket a lépéseket a regisztrációs és bejelentkezési felhasználói folyamat létrehozása is ismerteti.

    2. Konfigurálja az alkalmazásregisztrációt úgy, hogy működjön a felhasználói folyamattal:

       1. Válassza ki az imént létrehozott felhasználói folyamatot.
       2. Válassza az Application Add application (Alkalmazás>hozzáadása) lehetőséget.
       3. Keresse meg a korábban létrehozott alkalmazásregisztrációt, jelölje ki, majd válassza a Kiválasztás lehetőséget.

       Ezeket a lépéseket az Alkalmazás hozzáadása a felhasználói folyamathoz című cikk is ismerteti.

    3. Állítsa vissza a címtárat arra a bérlőre, amely tartalmazza az előfizetését és az App Service-alkalmazást, hogy végrehajthassa a következő lépéseket.

2. lépés: A Microsoft Entra-azonosító engedélyezése az App Service-alkalmazásban

1. Jelentkezzen be az Azure Portalra , és lépjen az alkalmazáshoz.

2. A bal oldali navigációs sávon válassza a Hitelesítés>hozzáadása identitásszolgáltató>Microsoft lehetőséget.

3. Válassza ki a létrehozott alkalmazásregisztráció bérlőtípusát .

4. Konfigurálja az alkalmazást a létrehozott regisztráció használatára a megfelelő bérlőtípus utasításaival:

   Munkaerő-bérlő

   Alkalmazásregisztrációs típus esetén válasszon az alábbiak közül:

   • Válasszon egy meglévő alkalmazásregisztrációt ebben a könyvtárban: Válasszon egy alkalmazásregisztrációt az aktuális bérlőből, és automatikusan gyűjtse össze a szükséges alkalmazásadatokat. A rendszer megpróbál létrehozni egy új ügyfélkulcsot az alkalmazásregisztrációhoz, és automatikusan konfigurálja az alkalmazást a használatára. Az alapértelmezett kiállítói URL-cím az alkalmazásregisztrációban konfigurált támogatott fióktípusok alapján van beállítva. Ha módosítani szeretné ezt az alapértelmezett beállítást, tekintse meg az alábbi táblázatot.
   • Adja meg egy meglévő alkalmazásregisztráció részleteit: Adja meg egy másik bérlőtől származó alkalmazásregisztráció részleteit, vagy ha a fiókja nem rendelkezik engedéllyel az aktuális bérlőben a regisztrációk lekérdezéséhez. Ebben a beállításban manuálisan kell kitöltenie a konfigurációs értékeket az alábbi táblázat szerint.

   A munkaerő-bérlő hitelesítési végpontjának a felhőkörnyezetre jellemző értéknek kell lennie. Egy globális Azure-beli munkaerő-bérlő például a "https://login.microsoftonline.com" hitelesítési végpontként. Jegyezze fel a hitelesítési végpont értékét, mivel a megfelelő kiállítói URL-cím létrehozásához szükséges.

   Ügyfélbérl

   Ügyfél-bérlő esetén manuálisan kell kitöltenie a konfigurációs értékeket az alábbi táblázat szerint.

   Az ügyfélbérlés hitelesítési végpontjának a bérlő altartományát> kell lecserélnie https://<tenant-subdomain>.ciamlogin.com<a bérlő alapértelmezett altartományára. Az alapértelmezett altartomány a bérlő elsődleges tartományának része, amelynek az űrlapnak <tenant-subdomain>.onmicrosoft.com kell lennie, és a bérlő létrehozásakor lett beállítva. Ha például a bérlő tartománya "contoso.onmicrosoft.com", akkor a bérlő altartománya "contoso", a hitelesítési végpont pedig "https://contoso.ciamlogin.com"" lesz. Jegyezze fel a hitelesítési végpont értékét, mivel a megfelelő kiállítói URL-cím létrehozásához szükséges.

   Amikor közvetlenül kitölti a konfiguráció részleteit, használja az alkalmazásregisztrációs létrehozási folyamat során gyűjtött értékeket:

   Mező	Leírás
   Alkalmazás (ügyfél) azonosítója	Használja az alkalmazásregisztráció alkalmazás-(ügyfél-) azonosítóját .
   Titkos ügyfélkulcs	Használja az alkalmazásregisztrációban létrehozott ügyféltitkot. Az ügyfél titkos kódjával a rendszer hibrid folyamatot használ, és az App Service hozzáférési és frissítési jogkivonatokat ad vissza. Ha az ügyfélkulcs nincs beállítva, az implicit folyamatot használja a rendszer, és csak egy azonosító jogkivonatot ad vissza. Ezeket a jogkivonatokat a szolgáltató küldi el, és az App Service hitelesítési jogkivonat-tárolójában tárolja.
   Kiállító URL-címe	Használja <authentication-endpoint>/<tenant-id>/v2.0és cserélje le <a hitelesítési végpontot> a bérlőtípus és a felhőkörnyezet előző lépésében meghatározott hitelesítési végpontra, és cserélje le< a bérlőazonosítót> az alkalmazásregisztrációt tartalmazó címtár-(bérlői) azonosítóra. Az Azure AD v1-et használó alkalmazások esetében hagyja ki /v2.0 az URL-címet. Ez az érték arra szolgál, hogy átirányítsa a felhasználókat a megfelelő Microsoft Entra-bérlőre, valamint letöltse a megfelelő metaadatokat a megfelelő jogkivonat-aláíró kulcsok és jogkivonat-kiállító jogcímértékének meghatározásához. A bérlőspecifikus végponttól eltérő konfigurációk több-bérlősként lesznek kezelve. Több-bérlős konfigurációkban a rendszer nem ellenőrzi a kiállító vagy a bérlő azonosítóját, és ezeket az ellenőrzéseket teljes mértékben kezelnie kell az alkalmazás engedélyezési logikájában.
   Engedélyezett jogkivonat-célközönségek	A mező nem kötelező. A konfigurált alkalmazás (ügyfél) azonosítója mindig implicit módon engedélyezett célközönségnek minősül. Ha az alkalmazás olyan API-t jelöl, amelyet más ügyfelek fognak meghívni, akkor hozzá kell adnia az alkalmazásregisztrációhoz konfigurált alkalmazásazonosító URI-t is. Az engedélyezett célközönségek listájában legfeljebb 500 karakter lehet.

   Az ügyfél titkos kódja egy pont-ragadós alkalmazásbeállításkéntMICROSOFT_PROVIDER_AUTHENTICATION_SECRETlesz tárolva. Ezt a beállítást később frissítheti a Key Vault-hivatkozások használatára, ha az Azure Key Vaultban szeretné kezelni a titkos kulcsokat.

5. Ha ez az első identitásszolgáltató, amely konfigurálva van az alkalmazáshoz, a rendszer egy App Service-hitelesítési beállításokat tartalmazó szakaszt is kérni fog. Ellenkező esetben továbbléphet a következő lépésre.

   Ezek a beállítások határozzák meg, hogy az alkalmazás hogyan reagál a nem hitelesített kérelmekre, és az alapértelmezett beállítások átirányítják az összes kérést az új szolgáltatóval való bejelentkezéshez. Ezt a viselkedést most módosíthatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési képernyőn a Hitelesítés beállításai melletti Szerkesztés gombra kattintva. További információ ezekről a lehetőségekről: Hitelesítési folyamat.

6. Válassza a Hozzáadás lehetőséget.

Most már készen áll a Microsoft Identitásplatform használatára az alkalmazásban való hitelesítéshez. A szolgáltató megjelenik a Hitelesítés képernyőn. Innen szerkesztheti vagy törölheti ezt a szolgáltatói konfigurációt.

Kérelmek engedélyezése

Alapértelmezés szerint az App Service-hitelesítés csak a hitelesítést kezeli, és megállapítja, hogy a hívó ki mondja őket. Az engedélyezés, annak meghatározása, hogy a hívónak hozzáféréssel kell-e rendelkeznie egy erőforráshoz, további lépés a hitelesítésen túl. Ezekről a fogalmakról az Microsoft Identitásplatform engedélyezési alapjaiból tudhat meg többet.

Az alkalmazás kódban hozhat engedélyezési döntéseket. Az App Service-hitelesítés bizonyos beépített ellenőrzéseket biztosít, amelyek segíthetnek, de nem feltétlenül elegendőek az alkalmazás engedélyezési igényeinek kielégítéséhez.

Tipp.

A több-bérlős alkalmazásoknak a folyamat részeként ellenőriznie kell a kérés kiállítóját és bérlőazonosítóját, hogy az értékek engedélyezve legyenek. Ha az App Service-hitelesítés több-bérlős forgatókönyvhöz van konfigurálva, nem ellenőrzi, hogy melyik bérlőtől származik a kérés. Előfordulhat, hogy egy alkalmazásnak adott bérlőkre kell korlátozódnia, attól függően, hogy a szervezet regisztrált-e például a szolgáltatásra. Tekintse meg a Microsoft Identitásplatform több-bérlős útmutatót.

Érvényesítések végrehajtása alkalmazáskódból

Amikor engedélyezési ellenőrzéseket végez az alkalmazáskódban, az App Service Authentication által elérhető jogcímadatokat használhatja. Az injektált x-ms-client-principal fejléc egy Base64 kódolású JSON-objektumot tartalmaz, amely a hívóra vonatkozó jogcímeket tartalmazza. Alapértelmezés szerint ezek a jogcímek egy jogcímleképezésen mennek keresztül, így előfordulhat, hogy a jogcímnevek nem mindig egyeznek a jogkivonatban látható névvel. A jogcím például tid erre van megfeleltetve http://schemas.microsoft.com/identity/claims/tenantid .

A mögöttes hozzáférési jogkivonattal közvetlenül is dolgozhat az injektált x-ms-token-aad-access-token fejlécből.

Beépített engedélyezési szabályzat használata

A létrehozott alkalmazásregisztráció hitelesíti a Microsoft Entra-bérlő bejövő kéréseit. Alapértelmezés szerint a bérlőn belül bárki hozzáférhet az alkalmazáshoz, ami sok alkalmazás esetében rendben van. Egyes alkalmazásoknak azonban az engedélyezési döntések meghozatalával tovább kell korlátozniuk a hozzáférést. Az alkalmazáskód gyakran a legjobb hely az egyéni engedélyezési logika kezeléséhez. Gyakori forgatókönyvek esetén azonban a Microsoft Identitásplatform beépített ellenőrzéseket biztosít, amelyekkel korlátozhatja a hozzáférést.

Ez a szakasz bemutatja, hogyan engedélyezheti a beépített ellenőrzéseket az App Service hitelesítési V2 API-val. Jelenleg a beépített ellenőrzések konfigurálásának egyetlen módja az Azure Resource Manager-sablonok vagy a REST API.

Az API-objektumon belül a Microsoft Entra identitásszolgáltató konfigurációja tartalmaz egy szakaszt validation , amely az alábbi struktúrához hasonlóan tartalmazhat objektumot defaultAuthorizationPolicy :

{
    "validation": {
        "defaultAuthorizationPolicy": {
            "allowedApplications": [],
            "allowedPrincipals": {
                "identities": []
            }
        }
    }
}

Tulajdonság	Leírás
defaultAuthorizationPolicy	Az alkalmazás eléréséhez teljesítendő követelmények csoportosítása. A hozzáférés az egyes konfigurált tulajdonságok logikai alapján történik AND . Amikor allowedApplications és allowedPrincipals mindkettő konfigurálva van, a bejövő kérésnek mindkét követelménynek meg kell felelnie ahhoz, hogy elfogadhassa.
allowedApplications	Az alkalmazásba behívó ügyfélerőforrást képviselő sztringalkalmazás-ügyfélazonosítók engedélyezési listája. Ha ez a tulajdonság egyetlen tömbként van konfigurálva, csak a listában megadott alkalmazás által beszerzett jogkivonatok lesznek elfogadva. Ez a szabályzat kiértékeli a appid bejövő jogkivonatot vagy azp jogcímet, amelynek hozzáférési jogkivonatnak kell lennie. Tekintse meg a Microsoft Identitásplatform jogcímek hivatkozását.
allowedPrincipals	Az ellenőrzések csoportosítása, amelyek meghatározzák, hogy a bejövő kérés által képviselt tag hozzáfér-e az alkalmazáshoz. allowedPrincipals Az elégedettség a konfigurált tulajdonságokon alapuló logikai OR értékeken alapul.
identities (alatt allowedPrincipals)	A hozzáféréssel rendelkező felhasználókat vagy alkalmazásokat képviselő sztringobjektum-azonosítók engedélyezési listája. Ha ez a tulajdonság egyetlen tömbként van konfigurálva, a allowedPrincipals követelmény akkor teljesíthető, ha a kérelem által képviselt felhasználó vagy alkalmazás szerepel a listában. Az identitások listájában legfeljebb 500 karakter lehet. Ez a szabályzat kiértékeli a oid bejövő jogkivonat jogcímét. Tekintse meg a Microsoft Identitásplatform jogcímek hivatkozását.

Emellett néhány ellenőrzés konfigurálható alkalmazásbeállítással, függetlenül attól, hogy milyen API-verziót használ. Az WEBSITE_AUTH_AAD_ALLOWED_TENANTS alkalmazásbeállítás legfeljebb 10 bérlőazonosító vesszővel tagolt listájával konfigurálható (pl. A "559a2f9c-c6f2-4d31-b8d6-5ad1a13f8330,5693f64a-3ad5-4be7-b846-e9d1141bcebcebc") megköveteli, hogy a bejövő jogkivonat a jogcím által tid megadott egyik megadott bérlőtől származzon. Az WEBSITE_AUTH_AAD_REQUIRE_CLIENT_SERVICE_PRINCIPAL alkalmazásbeállítás "true" vagy "1" értékre konfigurálható, hogy a bejövő jogkivonatnak tartalmaznia kell egy jogcímet oid . Ez a beállítás figyelmen kívül lesz hagyva, és igazként lesz kezelve, ha allowedPrincipals.identities konfigurálva van (mivel a oid jogcímet a megadott identitáslistán ellenőrzi a rendszer).

A beépített ellenőrzések sikertelen kérései HTTP-választ 403 Forbidden kapnak.

Ügyfélalkalmazások konfigurálása az App Service eléréséhez

A korábbi szakaszokban regisztrálta az App Service-t vagy az Azure-függvényt a felhasználók hitelesítéséhez. Ez a szakasz bemutatja, hogyan regisztrálhat natív ügyfeleket vagy démonalkalmazásokat a Microsoft Entra-azonosítóban, hogy hozzáférést kérhessenek az App Service által a felhasználók vagy maguk nevében közzétett API-khoz, például egy N szintű architektúrában. Ha csak a felhasználókat szeretné hitelesíteni, nem szükséges elvégeznie a szakasz lépéseit.

Natív ügyfélalkalmazás

Regisztrálhat natív ügyfeleket, hogy hozzáférést kérjen az App Service-alkalmazás API-ihoz egy bejelentkezett felhasználó nevében.

1. A portál menüjében válassza a Microsoft Entra-azonosítót.

2. A bal oldali navigációs sávon válassza a Alkalmazásregisztrációk> New regisztrációt.

3. Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.

4. Az Átirányítási URI-ban válassza a Nyilvános ügyfél (mobil & asztali) lehetőséget, és írja be az URL-címet<app-url>/.auth/login/aad/callback. Például: https://contoso.azurewebsites.net/.auth/login/aad/callback.

5. Válassza ki a pénztárgépet.

6. Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítójának értékét.

   Feljegyzés

   Microsoft Store-alkalmazások esetén használja inkább a csomag SID-ét URI-ként.

7. A bal oldali navigációs sávon válassza az API-engedélyeket>: Engedély>hozzáadása saját API-khoz.

8. Válassza ki az App Service-alkalmazáshoz korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáadta a user_impersonation hatókört az App Service-alkalmazásHoz tartozó Alkalmazásregisztráció létrehozása a Microsoft Entra-azonosítóban.

9. A Delegált engedélyek területen válassza a user_impersonation, majd az Engedélyek hozzáadása lehetőséget.

Most már konfigurált egy natív ügyfélalkalmazást, amely hozzáférést kérhet az App Service-alkalmazáshoz egy felhasználó nevében.

Démonügyfél-alkalmazás (szolgáltatásközi hívások)

Az N szintű architektúrákban az ügyfélalkalmazás jogkivonatot szerezhet be egy App Service- vagy függvényalkalmazás meghívásához az ügyfélalkalmazás nevében (nem egy felhasználó nevében). Ez a forgatókönyv olyan nem interaktív démonalkalmazások esetében hasznos, amelyek bejelentkezett felhasználó nélkül hajtanak végre feladatokat. A szabványos OAuth 2.0 ügyfél-hitelesítő adatokat használja.

1. A portál menüjében válassza a Microsoft Entra-azonosítót.
2. A bal oldali navigációs sávon válassza a Alkalmazásregisztrációk> New regisztrációt.
3. Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.
4. Démonalkalmazás esetén nincs szükség átirányítási URI-ra, hogy üresen tarthassa azt.
5. Válassza ki a pénztárgépet.
6. Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítójának értékét.
7. A bal oldali navigációs sávon válassza a Tanúsítványok > titkos ügyfélkulcsok>új ügyféltitkot.>
8. Adja meg a leírást és a lejáratot, majd válassza a Hozzáadás lehetőséget.
9. Az Érték mezőben másolja ki az ügyfél titkos kódjának értékét. A lapról való navigálás után nem jelenik meg újra.

Most már kérheti a hozzáférési jogkivonatot az ügyfélazonosító és az ügyfél titkos kódjával , ha a paramétert resource a célalkalmazás alkalmazásazonosítójának URI-jára állítja. Az eredményül kapott hozzáférési jogkivonat ezután a szabványos OAuth 2.0 engedélyezési fejléc használatával jeleníthető meg a célalkalmazás számára, és az App Service-hitelesítés a szokásos módon érvényesíti és használja a jogkivonatot, hogy a hívó (ebben az esetben egy alkalmazás, nem felhasználó) hitelesítve legyen.

Ez jelenleg lehetővé teszi , hogy a Microsoft Entra-bérlőben lévő ügyfélalkalmazások hozzáférési jogkivonatot kérjenek, és hitelesítsék magukat a célalkalmazásban. Ha azt is szeretné, hogy az engedélyezés csak bizonyos ügyfélalkalmazások engedélyezését engedélyezze, további konfigurációt kell végrehajtania.

1. Adjon meg egy alkalmazásszerepkört az alkalmazásregisztráció jegyzékében, amely a védeni kívánt App Service- vagy függvényalkalmazást jelöli.
2. A engedélyezni kívánt ügyfelet képviselő alkalmazásregisztrációban válassza az API-engedélyeket>: Engedély>hozzáadása Saját API-k.
3. Válassza ki a korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáadott egy alkalmazásszerepkört.
4. Az Alkalmazásengedélyek területen válassza ki a korábban létrehozott alkalmazásszerepkört, majd válassza az Engedélyek hozzáadása lehetőséget.
5. Győződjön meg arról, hogy a rendszergazdai hozzájárulás megadását választva engedélyezi az ügyfélalkalmazásnak az engedély kérését.
6. Az előző forgatókönyvhöz hasonlóan (a szerepkörök hozzáadása előtt) most már kérhet hozzáférési jogkivonatot ugyanahhoz a célhozresource, és a hozzáférési jogkivonat tartalmazza roles az ügyfélalkalmazás számára engedélyezett alkalmazásszerepköröket tartalmazó jogcímet.
7. A cél App Service- vagy függvényalkalmazás-kódon belül ellenőrizheti, hogy a várt szerepkörök szerepelnek-e a jogkivonatban (ezt az App Service-hitelesítés nem hajtja végre). További információ: Access felhasználói jogcímek.

Most már konfigurált egy démonügyfél-alkalmazást, amely a saját identitásával férhet hozzá az App Service-alkalmazáshoz.

Ajánlott eljárások

A hitelesítés beállításához használt konfigurációtól függetlenül az alábbi ajánlott eljárások védik bérlője és alkalmazásai biztonságát:

• Konfiguráljon minden App Service-alkalmazást annak saját alkalmazásregisztrációjával a Microsoft Entra-azonosítóban.
• Adja meg minden App Service-alkalmazásnak a saját engedélyeit és hozzájárulását.
• Kerülje a környezetek közötti engedélymegosztást, használjon külön alkalmazásregisztrációkat a külön üzembehelyezési pontokhoz. Új kód tesztelése során ez a gyakorlat segíthet megelőzni az éles alkalmazást érintő problémákat.

Migrálás a Microsoft Graphra

Előfordulhat, hogy egyes régebbi alkalmazások az elavult Azure AD Graph függőségével lettek beállítva, amely a teljes kivonásra van ütemezve. Előfordulhat például, hogy az alkalmazás kódja Azure AD Graph-ot hívott, hogy ellenőrizze a csoporttagságokat egy köztes szoftverfolyamat engedélyezési szűrőjének részeként. Az alkalmazásoknak az Azure AD Graph elavulásának folyamata során a Microsoft Entra ID által biztosított útmutatást követve kell a Microsoft Graph-ra váltaniuk. Az utasításokat követve előfordulhat, hogy módosítania kell az App Service-hitelesítés konfigurációját. Miután hozzáadta a Microsoft Graph-engedélyeket az alkalmazásregisztrációhoz, a következőket teheti:

1. Frissítse a kiállító URL-címét , hogy tartalmazza a "/v2.0" utótagot, ha még nem tette meg.

2. Távolítsa el az Azure AD Graph-engedélyekre vonatkozó kéréseket a bejelentkezési konfigurációból. A módosítani kívánt tulajdonságok a használt felügyeleti API melyik verziójától függnek:

   • Ha a V1 API-t (/authsettings) használja, az a additionalLoginParams tömbben lesz.
   • Ha a V2 API-t (/authsettingsV2) használja, az a loginParameters tömbben lesz.

   El kell távolítania például az ";"https://graph.windows.net" kifejezésre mutató hivatkozásokat. Ez magában foglalja a resource paramétert (amelyet a "/v2.0" végpont nem támogat) vagy azOkat a hatóköröket, amelyeket kifejezetten az Azure AD Graph-ból kér.

   Emellett frissítenie kell a konfigurációt az alkalmazásregisztrációhoz beállított új Microsoft Graph-engedélyek lekéréséhez. Az .default hatókörrel sok esetben egyszerűsítheti ezt a beállítást. Ehhez adjon hozzá egy új bejelentkezési paramétert scope=openid profile email https://graph.microsoft.com/.default.

Ezekkel a módosításokkal, amikor az App Service-hitelesítés megpróbál bejelentkezni, a továbbiakban nem kér engedélyeket az Azure AD Graphhoz, hanem egy jogkivonatot kap a Microsoft Graphhoz. A jogkivonatnak az alkalmazáskódból való bármilyen használatát is frissíteni kell a Microsoft Entra ID által biztosított útmutatásnak megfelelően.

Következő lépések

• Az App Service-hitelesítés/engedélyezés áttekintése.
• Oktatóanyag: A felhasználók hitelesítése és engedélyezése a végfelhasználók számára a Azure-alkalmazás Szolgáltatásban

• Oktatóanyag: Felhasználók hitelesítése és engedélyezése egy olyan webalkalmazásban, amely hozzáfér az Azure Storage-hoz és a Microsoft Graphhoz
• Oktatóanyag: A felhasználók hitelesítése és engedélyezése a végfelhasználók számára a Azure-alkalmazás Szolgáltatásban