Включение проверки подлинности и авторизации в Контейнерах приложений Azure с помощью пользовательского поставщика OpenID Connect

В этой статье содержатся сведения о том, как настроить Контейнеры приложений Azure так, чтобы они использовали пользовательский поставщик проверки подлинности, который соответствует спецификации OpenID Connect. OpenID Connect (OIDC) — это промышленный стандарт, используемый многими поставщиками удостоверений (IDP). Для настройки приложения таким образом, чтобы оно использовало соответствующий IDP, понимать особенности спецификации не обязательно.

Вы можете настроить приложение так, чтобы оно использовало один или несколько поставщиков OIDC. Каждому из них нужно присвоить уникальное буквенно-цифровое имя в конфигурации. Кроме того, целевым объектом перенаправления по умолчанию может быть только один из таких поставщиков.

Регистрация приложения в поставщике удостоверений

Поставщик потребует зарегистрировать сведения о приложении. На одном из этапов потребуется указать универсальный код ресурса (URI) перенаправления. Этот код URI перенаправления будет иметь вид <app-url>/.auth/login/<provider-name>/callback. Каждый поставщик удостоверений должен предоставить дополнительные инструкции по выполнению этих действий.

Примечание.

Для настройки некоторых поставщиков, а также указания того, как использовать предоставляемые ими значения, вам, возможно, придется выполнить дополнительные действия. Например, компания Apple предоставляет закрытый ключ, который нельзя использовать в качестве секрета клиента OIDC. Его необходимо применять для создания маркера JWT, который рассматривается как секрет, который вы задаете в конфигурации приложения (см. раздел "Создание секрета клиента" документации по входу с помощью Apple)

Вам понадобится получить идентификатор клиента и секрет клиента для приложения.

Важно!

Секрет клиента — это важные учетные данные безопасности. Не сообщайте этот секрет никому и не раскрывайте его в клиентском приложении.

Кроме того, вам понадобятся метаданные OpenID Connect для поставщика. Эта информация часто предоставляется с помощью документа метаданных конфигурации, который является URL-адресом издателя поставщика, суффиксом /.well-known/openid-configuration. Получите этот URL-адрес конфигурации.

Если вы не можете использовать документ метаданных конфигурации, необходимо отдельно собрать следующие значения:

• URL-адрес издателя (иногда отображаемый как issuer)
• Конечная точка авторизации OAuth 2.0 (иногда отображается как authorization_endpoint)
• Конечная точка токена OAuth 2.0 (иногда отображается как token_endpoint)
• URL-адрес документа с набором JSON Web Key OAuth 2.0 (иногда отображается как jwks_uri)

Добавление сведений о поставщике в приложение

1. Войдите на портал Azure и перейдите к своему приложению.

2. В меню слева выберите пункт Проверка подлинности. Выберите Добавить поставщик удостоверений.

3. Выберите OpenID Connect в раскрывающемся списке поставщиков удостоверений.

4. Укажите уникальное буквенно-цифровое имя, выбранное ранее в качестве имени поставщика OpenID Connect.

5. Если у вас есть URL-адрес документа метаданных от поставщика удостоверений, укажите это значение в поле URL-адрес метаданных. В противном случае выберите параметр Укажите конечные точки отдельно и добавьте все URL-адреса, полученные от поставщика удостоверений, в соответствующем поле.

6. Укажите ранее полученные идентификатор клиента и секрет клиента в соответствующих полях.

7. Укажите имя параметра приложения для секрета клиента. Секрет будет храниться в качестве секрета в приложении-контейнере.

8. Нажмите кнопку Добавить, чтобы завершить настройку поставщика удостоверений.

Работа с пользователями, прошедшими проверку подлинности

Дополнительные сведения о работе с пользователями, прошедшими проверку подлинности, см. в указанных ниже руководствах.

• Настройка входа и выхода
• Доступ к утверждениям пользователей в коде приложения

Следующие шаги

Общие сведения о проверке подлинности и авторизации