Mengonfigurasi App Service atau aplikasi Azure Functions Anda untuk masuk menggunakan penyedia Koneksi OpenID
Artikel ini memperlihatkan kepada Anda cara mengonfigurasi Azure App Service atau Azure Functions untuk menggunakan penyedia autentikasi kustom yang mematuhi spesifikasi OpenID Connect. OpenID Connect (OIDC) adalah standar industri yang digunakan oleh banyak IdP (IDP). Anda tidak perlu memahami detail spesifikasi untuk mengonfigurasi aplikasi Anda untuk menggunakan IDP yang patuh.
Anda dapat mengonfigurasi aplikasi untuk menggunakan satu atau beberapa penyedia OIDC. Masing-masing harus diberi nama unik dalam konfigurasi dan hanya satu yang dapat berfungsi sebagai target pengalihan default.
Daftarkan aplikasi Anda dengan penyedia identitas
Penyedia Anda akan mengharuskan Anda untuk mendaftarkan detail aplikasi Anda kepadanya. Salah satu langkah ini melibatkan penentuan pengalihan URI. Pengalihan URI ini akan menjadi bentuk <app-url>/.auth/login/<provider-name>/callback. Setiap penyedia identitas harus memberikan lebih banyak instruksi tentang cara menyelesaikan langkah-langkah ini. <provider-name> akan merujuk ke nama ramah yang Anda berikan ke nama penyedia OpenID di Azure.
Catatan
Beberapa penyedia mungkin memerlukan langkah tambahan untuk konfigurasi mereka dan cara menggunakan nilai yang mereka berikan. Misalnya, Apple menyediakan kunci privat yang tidak digunakan sebagai rahasia klien OIDC, dan Anda harus menggunakannya untuk membuat JWT yang diperlakukan sebagai rahasia yang Anda berikan di konfigurasi aplikasi Anda (lihat bagian "Membuat Rahasia Klien" dari dokumentasi Masuk dengan Apple)
Anda nantinya harus mengumpulkan ID klien dan rahasia klien untuk aplikasi Anda.
Penting
Rahasia klien adalah info masuk keamanan yang penting. Jangan bagikan rahasia ini dengan siapa pun atau distribusikan dalam aplikasi klien.
Selain itu, Anda akan memerlukan metadata OpenID Connect untuk penyedia. Ini sering diekspos melalui dokumen metadata konfigurasi, yang merupakan URL Pengeluar Sertifikat penyedia yang diakhiri dengan /.well-known/openid-configuration. Kumpulkan URL konfigurasi ini.
Jika Anda tidak dapat menggunakan dokumen metadata konfigurasi, Anda nantinya harus mengumpulkan nilai berikut secara terpisah:
- URL pengeluar sertifikat (terkadang ditampilkan sebagai
issuer) - Titik akhir Otorisasi OAuth 2.0 (kadang-kadang ditampilkan sebagai
authorization_endpoint) - Titik akhir Token OAuth 2.0 (kadang-kadang ditampilkan sebagai
token_endpoint) - URL dokumen Set Kunci Web JSON OAuth 2.0 (terkadang ditampilkan sebagai
jwks_uri)
Menambahkan informasi penyedia ke aplikasi Anda
- Masuk ke portal Microsoft Azure dan navigasikan ke aplikasi Anda.
- Pilih Autentikasi pada menu di sebelah kiri. Pilih Tambahkan penyedia identitas .
- Pilih OpenID Connect di menu drop-down penyedia identitas.
- Berikan nama alfanumerik unik yang dipilih sebelumnya untuk nama penyedia OpenID.
- Jika Anda memiliki URL untuk dokumen metadata dari penyedia identitas, berikan nilai itu untuk URL Metadata. Jika tidak, pilih opsi Berikan titik akhir secara terpisah dan tempatkan setiap URL yang dikumpulkan dari penyedia identitas di bidang yang sesuai.
- Berikan ID Klien dan Rahasia Klien yang dikumpulkan sebelumnya di bidang yang sesuai.
- Tentukan nama pengaturan aplikasi untuk rahasia klien Anda. Rahasia klien Anda akan disimpan sebagai pengaturan aplikasi untuk memastikan rahasia disimpan dengan cara yang aman. Anda dapat memperbarui pengaturan tersebut nanti untuk menggunakan referensi Key Vault jika Anda ingin mengelola rahasia di Azure Key Vault.
- Tekan tombol Tambahkan untuk menyelesaikan penyiapan penyedia identitas.
Catatan
Nama penyedia OpenID tidak boleh berisi simbol seperti "-" karena appsetting akan dibuat berdasarkan ini dan tidak mendukungnya. Gunakan "_" sebagai gantinya.
Catatan
Azure memerlukan cakupan "openid," "profile," dan "email". Pastikan Anda telah mengonfigurasi Pendaftaran Aplikasi di Penyedia ID Anda dengan setidaknya cakupan ini.