Megosztás:

JavaScript-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során közvetítő hitelesítéssel

A közvetített hitelesítés összegyűjti a felhasználói hitelesítő adatokat a rendszerhitelesítési közvetítő használatával egy alkalmazás hitelesítéséhez. A rendszerhitelesítési közvetítő egy olyan alkalmazás, amely egy felhasználó számítógépén fut, amely kezeli az összes csatlakoztatott fiók hitelesítési kézfogásait és tokenkarbantartását.

A közvetített hitelesítés a következő előnyöket nyújtja:

  • Engedélyezi az egyszeri Sign-On (SSO): Lehetővé teszi az alkalmazások számára, hogy leegyszerűsítsék a Microsoft Entra-azonosítóval való hitelesítést, és megvédjék a Microsoft Entra ID frissítési jogkivonatait a kiszivárgástól és a visszaéléstől.
  • Fokozott biztonság: A közvetítővel számos biztonsági fejlesztés érhető el anélkül, hogy frissítenie kellene az alkalmazáslogikát.
  • Továbbfejlesztett funkciótámogatás: A közvetítő segítségével a fejlesztők hozzáférhetnek a gazdag operációs rendszer és a szolgáltatás képességeihez.
  • Rendszerintegráció: Azokat az alkalmazásokat, amelyek a közvetítő beépülő modult használják a beépített fiókválasztóval, lehetővé teszik, hogy a felhasználó gyorsan válasszon ki egy meglévő fiókot ahelyett, hogy újra és újra ugyanazokat a hitelesítő adatokat újra és újra megismétli.
  • Token Protection: Biztosítja, hogy a frissítési jogkivonatok eszközhöz kötöttek legyenek, és lehetővé teszi az alkalmazások számára az eszközhöz kötött hozzáférési jogkivonatok beszerzését. Lásd: Token Protection.

A Windows egy Web Account Manager (WAM) nevű hitelesítési közvetítőt biztosít. A WAM lehetővé teszi az olyan identitásszolgáltatók számára, mint a Microsoft Entra ID, natív módon csatlakoztatják az operációs rendszert, és biztonságos bejelentkezési szolgáltatásokat nyújtanak az alkalmazások számára. A közvetített hitelesítés lehetővé teszi az alkalmazás számára az interaktív bejelentkezési hitelesítő adatok által engedélyezett összes művelethez.

A személyes Microsoft-fiókok, valamint a munkahelyi vagy iskolai fiókok támogatottak. A támogatott Windows-verziók esetében az alapértelmezett böngészőalapú felhasználói felület gördülékenyebb hitelesítési felületre vált, hasonlóan a beépített Windows-alkalmazásokhoz.

A Linux a Linuxhoz készült egyszeri bejelentkezést használja hitelesítési közvetítőként.

Az alkalmazás konfigurálása közvetítőalapú hitelesítéshez

Ha engedélyezni szeretné a közvetítőalapú hitelesítést az alkalmazásban, kövesse az alábbi lépéseket:

  1. Az Azure Portalon navigáljon a Microsoft Entra-azonosítóhoz , és válassza az alkalmazásregisztrációkat a bal oldali menüben.

  2. Válassza ki az alkalmazás regisztrációját, majd válassza a Hitelesítésilehetőséget.

  3. Adja hozzá a megfelelő átirányítási URI-t az alkalmazásregisztrációhoz egy platformkonfiguráción keresztül:

    1. A Platformkonfigurációk területen válassza a + Platform hozzáadása lehetőséget.

    2. A Platformok konfigurálása területen válassza ki az alkalmazástípushoz (platformhoz) tartozó csempét a beállítások konfigurálásához, például mobil- és asztali alkalmazásokhoz.

    3. Az egyéni átirányítási URI-kban adja meg a következő átirányítási URI-t a platformhoz:

      Plattform Átirányítási URI
      Windows 10+ vagy WSL ms-appx-web://Microsoft.AAD.BrokerPlugin/{your_client_id}
      macOS msauth.com.msauth.unsignedapp://auth nem aláírt alkalmazások esetén
      msauth.{bundle_id}://auth aláírt alkalmazásokhoz
      Linux https://login.microsoftonline.com/common/oauth2/nativeclient

      Cserélje le vagy {your_client_id} cserélje le {bundle_id} az alkalmazás (ügyfél) azonosítóját az alkalmazásregisztráció Áttekintés paneljén.

    4. Válassza a Konfigurálás lehetőséget.

    További információ: Átirányítási URI hozzáadása alkalmazásregisztrációhoz.

  4. A Hitelesítés panel Speciális beállítások csoportjában válassza az Igen lehetőséget a nyilvános ügyfélfolyamatok engedélyezéséhez.

  5. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

  6. Ha engedélyezni szeretné az alkalmazást adott erőforrásokhoz, keresse meg a kérdéses erőforrást, válassza API-engedélyeket, és engedélyezze a Microsoft Graph és más elérni kívánt erőforrásokat.

    Fontos

    Önnek is az ügyfélrendszer adminisztrátorának kell lennie ahhoz, hogy az első bejelentkezéskor hozzájárulását adja az alkalmazás használatához.

Szerepkörök hozzárendelése

Az alkalmazáskód közvetítő hitelesítéssel történő sikeres futtatásához adjon felhasználói fiókengedélyeket az Azure szerepköralapú hozzáférés-vezérlés (RBAC) használatával. Rendeljen hozzá egy megfelelő szerepkört a megfelelő Azure-szolgáltatás felhasználói fiókjához. Például:

  • Azure Blob Storage: A tárfiók adat-közreműködői szerepkörének hozzárendelése .
  • Azure Key Vault: Rendelje hozzá a Key Vault titkos kulcsfelügyelői szerepkörét.

Ha egy alkalmazás meg van adva, api-engedélyekkel kell rendelkeznie user_impersonation Access Azure Storage-hoz (az előző szakasz 6. lépése). Ez az API-engedély lehetővé teszi, hogy az alkalmazás hozzáférjen az Azure Storage-hoz a bejelentkezett felhasználó nevében, miután a bejelentkezés során megadta a hozzájárulást.

A kód implementálása

Az Azure Identity-kódtár támogatja a közvetítőalapú hitelesítést az InteractiveBrowserCredential használatával. Ha például egy Node.js konzolalkalmazásban a InteractiveBrowserCredentialSecretClient használatával szeretne hitelesíteni az Azure Key Vaultban, kövesse az alábbi lépéseket:

  1. Telepítse a @azure/identitás - és @azure/identity-broker csomagokat:

    npm install @azure/identity @azure/identity-broker

  2. Hozzon létre egy InteractiveBrowserCredential-példányt közvetítői beállítások használatával, és regisztrálja a natív közvetítő beépülő modult:

    import { useIdentityPlugin, InteractiveBrowserCredential } from "@azure/identity";
import { nativeBrokerPlugin } from "@azure/identity-broker";

// Register the native broker plugin for brokered authentication
useIdentityPlugin(nativeBrokerPlugin);

// Use InteractiveBrowserCredential with broker for interactive or silent authentication

// On Windows: Uses Windows Authentication Manager (WAM) - you'll be prompted to sign in
// On macOS: Opens a browser window for authentication, since the broker flow isn't currently supported.
// On Linux: Uses Microsoft Single Sign-on (SSO) for Linux.

const credential = new InteractiveBrowserCredential({
    brokerOptions: {
        enabled: true,
        useDefaultBrokerAccount: true,
        // For Node.js console apps, we need to provide an empty buffer for parentWindowHandle
        parentWindowHandle: new Uint8Array(0),
    },
});

Jótanács

Tekintse meg a teljes mintaalkalmazás-kódot az Azure SDK for JavaScript GitHub-adattárban.

Az előző példában a tulajdonság useDefaultBrokerAccount értéke trueegy csendes, közvetített hitelesítési folyamat lesz az alapértelmezett rendszerfiókkal. Így a felhasználónak nem kell ismételten ugyanazt a fiókot kiválasztania. Ha a csendes, közvetítőalapú hitelesítés sikertelen vagy useDefaultBrokerAccount be van állítva false, InteractiveBrowserCredential az interaktív, közvetítőalapú hitelesítésre kerül vissza.

Az alábbi képernyőképen az alternatív interaktív, közvetítőalapú hitelesítési felület látható:

Képernyőkép a Windows bejelentkezési felületről, amikor egy közvetítő által engedélyezett InteractiveBrowserCredential-példány használatával hitelesít egy felhasználót.

Az alábbi videó az alternatív interaktív, közvetített hitelesítési élményt mutatja be:

Animált gif, amely megjeleníti a Linux bejelentkezési élményét, amikor egy közvetítő által engedélyezett InteractiveBrowserCredential-példányt használ egy felhasználó hitelesítéséhez.

Kapcsolódó tartalom

  • Last updated on