Hitelesítés és engedélyezés engedélyezése az Azure Container Appsben a Microsoft Entra-azonosítóval

Ez a cikk bemutatja, hogyan konfigurálhatja az Azure Container Apps hitelesítését, hogy az alkalmazás a Microsoft Identitásplatform hitelesítésszolgáltatóként jelentkezzen be a felhasználókba.

A Container Apps-hitelesítés funkció automatikusan létrehozhat alkalmazásregisztrációt a Microsoft Identitásplatform. Használhat olyan regisztrációt is, amelyet Ön vagy egy címtáradminisztrátor külön hoz létre.

• Új alkalmazásregisztráció automatikus létrehozása
• Külön létrehozott meglévő regisztráció használata

1. lehetőség: Új alkalmazásregisztráció automatikus létrehozása

Ez a beállítás egyszerűvé teszi a hitelesítés engedélyezését, és mindössze néhány lépést igényel.

1. Jelentkezzen be az Azure Portalra , és lépjen az alkalmazáshoz.

2. Válassza a hitelesítés lehetőséget a bal oldali menüben. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

3. Válassza a Microsoftot az identitásszolgáltató legördülő listájában. Az új regisztráció létrehozásának lehetősége alapértelmezés szerint be van jelölve. Módosíthatja a regisztráció nevét vagy a támogatott fióktípusokat.

   Az ügyfél titkos kódját a tárolóalkalmazás titkos kódként hozza létre és tárolja.

4. Ha az alkalmazás első identitásszolgáltatóját konfigurálja, a rendszer egy Container Apps hitelesítési beállításokat tartalmazó szakaszt kér. Ellenkező esetben továbbléphet a következő lépésre.

   Ezek a beállítások határozzák meg, hogy az alkalmazás hogyan reagál a nem hitelesített kérelmekre, és az alapértelmezett beállítások átirányítják az összes kérést az új szolgáltatóval való bejelentkezéshez. Ezt a viselkedést most testre szabhatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési képernyőn a Hitelesítés beállításai melletti Szerkesztés gombra kattintva. További információ ezekről a lehetőségekről: Hitelesítési folyamat.

5. (Nem kötelező) Válassza a Tovább elemet : Engedélyek és az alkalmazás által igényelt hatókörök hozzáadása. A hatókörök hozzá lesznek adva az alkalmazásregisztrációhoz, de később is módosíthatja őket.

6. Válassza a Hozzáadás lehetőséget.

Most már készen áll a Microsoft Identitásplatform használatára az alkalmazásban való hitelesítéshez. A szolgáltató megjelenik a Hitelesítés képernyőn. Innen szerkesztheti vagy törölheti ezt a szolgáltatói konfigurációt.

2. lehetőség: Külön létrehozott meglévő regisztráció használata

Manuálisan is regisztrálhatja az alkalmazást a Microsoft Identitásplatform, testre szabhatja a regisztrációt, és konfigurálhatja a Container Apps-hitelesítést a regisztrációs adatokkal. Ez a módszer akkor hasznos, ha egy másik Microsoft Entra-bérlőtől származó alkalmazásregisztrációt szeretne használni, nem azt, amelyben az alkalmazást definiálta.

Alkalmazásregisztráció létrehozása a Microsoft Entra-azonosítóban a tárolóalkalmazáshoz

Először hozza létre az alkalmazásregisztrációt. Ennek megfelelően gyűjtse össze a következő információkat, amelyekre később szüksége lesz a tárolóalkalmazásban a hitelesítés konfigurálásakor:

• Ügyfél azonosítója
• Bérlőazonosító
• Titkos ügyfélkód (nem kötelező)
• Alkalmazásazonosító URI

Az alkalmazás regisztrálásához hajtsa végre a következő lépéseket:

1. Jelentkezzen be az Azure Portalra.
2. Keresse meg és válassza ki a Container Apps alkalmazást, majd válassza ki az alkalmazást. Az Áttekintés lapon jegyezze fel az alkalmazás alkalmazás URL-címét. Ezzel konfigurálhatja a Microsoft Entra-alkalmazásregisztrációt.
3. Válassza a Kezdőlap lehetőséget a portál főmenüjének visszaállításához. Keresse meg és válassza ki a Microsoft Entra ID-t.
4. Az Áttekintés lapon válassza a Hozzáadás, majd az Alkalmazásregisztráció lehetőséget.

   1. Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.

   2. Az Átirányítási URI-ban válassza a Web lehetőséget, és írja be a következőket. Cserélje le \<APP_URL\> a korábban feljegyzett alkalmazás URL-címére.

      <APP_URL>/.auth/login/aad/callback.

      Például: https://<CONTAINER_APP_NAME>.<ENVIRONMENT_UNIQUE_ID>.<REGION_NAME>.azurecontainerapps.io/.auth/login/aad/callback

   3. Implicit engedélyezési és hibrid folyamatokban engedélyezze az azonosító jogkivonatokat , hogy engedélyezze az OpenID Connect felhasználói bejelentkezéseit a Container Appsből.

   4. Válassza ki a pénztárgépet.

5. Keresse meg az új alkalmazásregisztrációt.
   1. Az Áttekintés lapon másolja ki az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját a későbbiekhez.
   2. (Nem kötelező) Ha korábban nem adta hozzá az átirányítási URI-t az alkalmazásregisztrációhoz, most már megteheti.

      1. A Felügyelt területen válassza a Hitelesítés lehetőséget.

      2. A Hitelesítés lapon a Platformkonfigurációk területen válassza a Platform hozzáadása lehetőséget.

      3. A Platformok konfigurálása területen válassza a Web lehetőséget.

      4. A Web konfigurálása területen az Átirányítási URI-kban adja meg a következőket. Cserélje le \<APP_URL\> a korábban feljegyzett alkalmazás URL-címére.

         <APP_URL>/.auth/login/aad/callback.

         Például: https://<CONTAINER_APP_NAME>.<HOSTNAME>.<LOCATION>.azurecontainerapps.io/.auth/login/aad/callback

      5. Válassza a Konfigurálás lehetőséget.

   3. (Nem kötelező) A Kezelés területen válassza a Védjegyzés > tulajdonságok lehetőséget. A kezdőlap URL-címében adja meg a tárolóalkalmazás URL-címét, és válassza a Mentés lehetőséget.
   4. A Kezelés területen válassza az API-k felfedése lehetőséget.

      1. Válassza a Hozzáadás lehetőséget az alkalmazásazonosító URI-ja mellett.

         Az alkalmazásazonosító URI egyedileg azonosítja az alkalmazást, amikor erőforrásként használják, ami lehetővé teszi a kért jogkivonatok számára a hozzáférést. Az érték a létrehozott hatókörök előtagjaként is használatos.

         Egybérlős alkalmazások esetében használhatja az alapértelmezett értéket, amely az űrlapon api://<APPLICATION_CLIENT_ID>található. Egy olvashatóbb URI-t is megadhat, például https://contoso.com/api a bérlő egyik ellenőrzött tartománya alapján. Több-bérlős alkalmazásokhoz egyéni URI-t kell megadnia. Az alkalmazásazonosító URI-k által elfogadott formátumokról az alkalmazásregisztrációk ajánlott eljárásainak hivatkozásában talál további információt.

         A rendszer automatikusan menti az értéket.

      2. Válassza a Hatókör hozzáadása lehetőséget.

      3. Hatókör hozzáadása esetén az alkalmazásazonosító URI-ja az előző lépésben megadott érték.

      4. Válassza a Mentés és folytatás lehetőséget.

      5. A Hatókör neve mezőbe írja be a user_impersonation.

      6. Adja meg a rendszergazdai hozzájárulás megjelenítendő nevét és a rendszergazdai hozzájárulás leírását , amelyet a rendszergazdáknak meg szeretne jeleníteni a hozzájárulási lapon. A hozzájárulás megjelenítendő neve például az Access-alkalmazás <neve>.

      7. Válassza a Hatókör hozzáadása lehetőséget.

   5. A Kezelés területen válassza a Tanúsítványok > titkos kulcsok lehetőséget.
      1. A Tanúsítványok > titkos kódok lapon válassza az Ügyfél titkos kulcsok lehetőséget.
      2. Válassza az Új titkos ügyfélkód lehetőséget.
      3. Adjon meg egy leírást, és válassza ki, hogy a titkos kód mikor jár le.
      4. Válassza a Hozzáadás lehetőséget.
      5. Másolja ki a lapon látható titkos ügyfélkód értékét, mert a webhely nem jeleníti meg újra.

A Microsoft Entra-azonosító engedélyezése a tárolóalkalmazásban

1. Jelentkezzen be az Azure Portalra , és lépjen az alkalmazáshoz.

2. Válassza a hitelesítés lehetőséget a bal oldali menüben. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

3. Válassza a Microsoftot az identitásszolgáltató legördülő listájában.

4. Az alkalmazásregisztráció típusa esetén választhat egy meglévő alkalmazásregisztrációt ebben a könyvtárban, amely automatikusan összegyűjti a szükséges alkalmazásadatokat. Ha a regisztráció egy másik bérlőtől származik, vagy nincs engedélye a regisztrációs objektum megtekintésére, válassza a Meglévő alkalmazásregisztráció adatainak megadása lehetőséget. Ebben a beállításban a következő konfigurációs adatokat kell megadnia:

   Figyelmeztetés

   Amikor csak lehetséges, kerülje az implicit engedélyezési folyamat használatát. A legtöbb forgatókönyvben biztonságosabb alternatívák érhetők el és ajánlottak. A folyamat bizonyos konfigurációihoz nagyon nagy megbízhatóságra van szükség az alkalmazásban, és olyan kockázatokat hordoz, amelyek más folyamatokban nincsenek jelen. Ezt a folyamatot csak akkor érdemes használni, ha más biztonságosabb folyamatok nem életképesek. További információkért tekintse meg az implicit engedélyezési folyamattal kapcsolatos biztonsági problémákat.

   Mező	Leírás
   Alkalmazás (ügyfél) azonosítója	Használja az alkalmazásregisztráció alkalmazás-(ügyfél-) azonosítóját .
   Titkos ügyfélkulcs	Használja az alkalmazásregisztrációban létrehozott ügyféltitkot. Az ügyfél titkos kódjai hibrid folyamatot használnak, és az alkalmazás hozzáférési és frissítési jogkivonatokat ad vissza. Ha az ügyfélkulcs nincs beállítva, az implicit folyamatot használja a rendszer, és csak egy azonosító jogkivonatot ad vissza. A szolgáltató elküldi a jogkivonatokat, és az EasyAuth-jogkivonat-tárolóban tárolják őket.
   Kiállító URL-címe	Használja <authentication-endpoint>/<TENANT-ID>/v2.0és cserélje le <a hitelesítési végpontot> a felhőkörnyezet hitelesítési végpontjával (például "https://login.microsoftonline.com" globális Azure esetén is), cserélje le <a TENANT-ID azonosítót> arra a címtár-(bérlői) azonosítóra, amelyben az alkalmazásregisztráció létrejött. Ez az érték arra szolgál, hogy átirányítsa a felhasználókat a megfelelő Microsoft Entra-bérlőre, és letöltse a megfelelő metaadatokat a megfelelő jogkivonat-aláíró kulcsok és jogkivonat-kiállító jogcímértékének meghatározásához. Az Azure AD v1-et használó alkalmazások esetében hagyja ki /v2.0 az URL-címet.
   Engedélyezett jogkivonat-célközönségek	A konfigurált alkalmazás (ügyfél) azonosítója mindig implicit módon engedélyezett célközönségnek minősül. Ha ez az érték egy felhő- vagy kiszolgálóalkalmazásra vonatkozik, és egy ügyféltároló-alkalmazásból szeretne hitelesítési jogkivonatokat fogadni (a hitelesítési jogkivonat lekérhető a X-MS-TOKEN-AAD-ID-TOKEN fejlécben), adja hozzá ide az ügyfélalkalmazás alkalmazás-(ügyfél-) azonosítóját .

   Az ügyfélkulcs titkos kulcsként van tárolva a tárolóalkalmazásban.

5. Ha ez az első identitásszolgáltató, amely konfigurálva van az alkalmazáshoz, a rendszer egy Container Apps hitelesítési beállításokat tartalmazó szakaszt is kér. Ellenkező esetben továbbléphet a következő lépésre.

   Ezek a beállítások határozzák meg, hogy az alkalmazás hogyan reagál a nem hitelesített kérelmekre, és az alapértelmezett beállítások átirányítják az összes kérést az új szolgáltatóval való bejelentkezéshez. Ezt a viselkedést most módosíthatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési képernyőn a Hitelesítés beállításai melletti Szerkesztés gombra kattintva. További információ ezekről a lehetőségekről: Hitelesítési folyamat.

6. Válassza a Hozzáadás lehetőséget.

Most már készen áll a Microsoft Identitásplatform használatára az alkalmazásban való hitelesítéshez. A szolgáltató megjelenik a Hitelesítés képernyőn. Innen szerkesztheti vagy törölheti ezt a szolgáltatói konfigurációt.

Ügyfélalkalmazások konfigurálása a tárolóalkalmazás eléréséhez

Az előző szakaszban regisztrálta a tárolóalkalmazást a felhasználók hitelesítéséhez. Ebben a szakaszban natív ügyfél- vagy démonalkalmazásokat regisztrál. Ezután hozzáférést kérhetnek a tárolóalkalmazás által a felhasználók vagy maguk nevében közzétett API-khoz. Ha csak a felhasználókat szeretné hitelesíteni, nem szükséges elvégeznie a szakasz lépéseit.

Natív ügyfélalkalmazás

Natív ügyfelek regisztrálásával hozzáférést kérhet a tárolóalkalmazás API-ihoz egy bejelentkezett felhasználó nevében.

1. Az Azure Portalon válassza a Microsoft Entra ID>Add> Alkalmazásregisztrációk lehetőséget.

2. Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.

3. Az Átirányítási URI-ban válassza a Nyilvános ügyfél (mobil & asztali) lehetőséget, és írja be az URL-címet<app-url>/.auth/login/aad/callback. Például: https://<hostname>.azurecontainerapps.io/.auth/login/aad/callback.

   Feljegyzés

   Microsoft Store-alkalmazások esetén használja inkább a csomag SID-ét URI-ként.

4. Válassza a Létrehozás lehetőséget.

5. Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítójának értékét.

6. Válassza az API-engedélyeket>: Engedély>hozzáadása Saját API-k.

7. Válassza ki a tárolóalkalmazáshoz korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáadta a user_impersonation hatókört az alkalmazásregisztráció létrehozása a Tárolóalkalmazás Microsoft Entra-azonosítójában.

8. A Delegált engedélyek területen válassza a user_impersonation, majd az Engedélyek hozzáadása lehetőséget.

Ebben a szakaszban egy natív ügyfélalkalmazást konfigurált, amely hozzáférést kérhet a tárolóalkalmazáshoz egy felhasználó nevében.

Démonügyfél-alkalmazás (szolgáltatásközi hívások)

Az alkalmazás jogkivonatot szerezhet be a tárolóalkalmazásban üzemeltetett webes API meghívásához saját nevében (nem felhasználó nevében). Ez a forgatókönyv olyan nem interaktív démonalkalmazások esetében hasznos, amelyek bejelentkezett felhasználó nélkül hajtanak végre feladatokat. A szabványos OAuth 2.0 ügyfél-hitelesítő adatokat használja.

1. Az Azure Portalon válassza a Microsoft Entra ID>Add> Alkalmazásregisztrációk lehetőséget.
2. Az Alkalmazás regisztrálása lapon adja meg a démonalkalmazás regisztrációjának nevét.
3. Démonalkalmazás esetén nincs szükség átirányítási URI-ra, hogy üresen tarthassa azt.
4. Válassza a Létrehozás lehetőséget.
5. Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítójának értékét.
6. Válassza a Tanúsítványok > titkos kulcsok>új ügyfélkód>hozzáadása lehetőséget. Másolja ki az ügyfél titkos kódjának értékét a lapon. Nem jelenik meg újra.

Most már kérheti a hozzáférési jogkivonatot az ügyfélazonosító és az ügyfél titkos kódjával , ha a paramétert resource a célalkalmazás alkalmazásazonosítójának URI-jára állítja. Az eredményül kapott hozzáférési jogkivonat ezután a szabványos OAuth 2.0 engedélyezési fejléc használatával jeleníthető meg a célalkalmazás számára, és a Container Apps-hitelesítés/engedélyezés a szokásos módon érvényesíti és használja a jogkivonatot annak jelzésére, hogy a hívó (ebben az esetben egy alkalmazás, nem felhasználó) hitelesítve van.

Ez a folyamat lehetővé teszi, hogy a Microsoft Entra-bérlőben lévő ügyfélalkalmazások hozzáférési jogkivonatot kérjenek, és hitelesítsék magukat a célalkalmazásban. Ha azt is szeretné, hogy az engedélyezés csak bizonyos ügyfélalkalmazásokat engedélyezzen, módosítania kell a konfigurációt.

1. Adjon meg egy alkalmazásszerepkört az alkalmazásregisztráció jegyzékében, amely a védeni kívánt tárolóalkalmazást jelöli.
2. A engedélyezni kívánt ügyfelet képviselő alkalmazásregisztrációban válassza az API-engedélyeket>: Engedély>hozzáadása Saját API-k.
3. Válassza ki a korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáad egy alkalmazásszerepkört.
4. Az Alkalmazásengedélyek területen válassza ki a korábban létrehozott alkalmazásszerepkört, majd válassza az Engedélyek hozzáadása lehetőséget.
5. Győződjön meg arról, hogy a rendszergazdai hozzájárulás megadását választva engedélyezi az ügyfélalkalmazásnak az engedély kérését.
6. Az előző forgatókönyvhöz hasonlóan (a szerepkörök hozzáadása előtt) most már kérhet hozzáférési jogkivonatot ugyanahhoz a célhoz resource, és a hozzáférési jogkivonat tartalmaz egy roles jogcímet, amely tartalmazza az ügyfélalkalmazáshoz engedélyezett alkalmazásszerepköröket.
7. A tárolóalkalmazások célkódjában ellenőrizze, hogy a várt szerepkörök már megtalálhatók-e a jogkivonatban. A Container Apps hitelesítési rétege nem hajtja végre az érvényesítési lépéseket. További információ: Access felhasználói jogcímek.

Ebben a szakaszban egy démonügyfél-alkalmazást konfigurált, amely a saját identitásával férhet hozzá a tárolóalkalmazáshoz.

Hitelesített felhasználók használata

A hitelesített felhasználókkal végzett munkáról az alábbi útmutatókban tájékozódhat.

• Bejelentkezés és kijelentkezés testreszabása
• Felhasználói jogcímek elérése az alkalmazáskódban

Következő lépések

Hitelesítés és engedélyezés – áttekintés