Uw App Service- of Azure Functions-app configureren om u aan te melden met behulp van een OpenID Connect-provider
In dit artikel leest u hoe u Azure-app Service of Azure Functions configureert voor het gebruik van een aangepaste verificatieprovider die voldoet aan de OpenID Connect-specificatie. OpenID Connect (OIDC) is een industriestandaard die wordt gebruikt door veel id-providers (IDP's). U hoeft de details van de specificatie niet te begrijpen om uw app te configureren voor het gebruik van een nalevings-IDP.
U kunt uw app configureren voor het gebruik van een of meer OIDC-providers. Elk moet een unieke alfanumerieke naam in de configuratie krijgen en slechts één kan fungeren als het standaardomleidingsdoel.
Uw toepassing registreren bij de id-provider
Voor uw provider moet u de gegevens van uw toepassing registreren. Een van deze stappen omvat het opgeven van een omleidings-URI. Deze omleidings-URI is van het formulier <app-url>/.auth/login/<provider-name>/callback. Elke id-provider moet meer instructies geven voor het voltooien van deze stappen. <provider-name> verwijst naar de beschrijvende naam die u aan de Naam van de OpenID-provider in Azure geeft.
Notitie
Voor sommige providers zijn mogelijk extra stappen vereist voor hun configuratie en hoe ze de waarden kunnen gebruiken die ze bieden. Apple biedt bijvoorbeeld een persoonlijke sleutel die niet zelf wordt gebruikt als het OIDC-clientgeheim en u moet deze in plaats daarvan gebruiken om een JWT te maken die wordt behandeld als het geheim dat u in uw app-configuratie opgeeft (zie de sectie 'Het clientgeheim maken' van de aanmelding met Apple-documentatie)
U moet een client-id en clientgeheim voor uw toepassing verzamelen.
Belangrijk
Het clientgeheim is een belangrijke beveiligingsreferentie. Deel dit geheim niet met iemand of distribueer het in een clienttoepassing.
Daarnaast hebt u de OpenID Connect-metagegevens voor de provider nodig. Dit wordt vaak weergegeven via een document met configuratiemetagegevens. Dit is de URL van de uitgever van de provider met /.well-known/openid-configurationhet achtervoegsel . Verzamel deze configuratie-URL.
Als u geen document met configuratiemetagegevens kunt gebruiken, moet u de volgende waarden afzonderlijk verzamelen:
- De URL van de verlener (soms weergegeven als
issuer) - Het OAuth 2.0-autorisatie-eindpunt (soms weergegeven als
authorization_endpoint) - Het OAuth 2.0-tokeneindpunt (soms weergegeven als
token_endpoint) - De URL van het document OAuth 2.0 JSON Web Key Set (soms weergegeven als
jwks_uri)
Providergegevens toevoegen aan uw toepassing
- Meld u aan bij Azure Portal en navigeer naar uw app.
- Selecteer Verificatie in het menu links. Selecteer Id-provider toevoegen.
- Selecteer OpenID Connect in de vervolgkeuzelijst met id-providers.
- Geef de unieke alfanumerieke naam op die eerder is geselecteerd voor de naam van de OpenID-provider.
- Als u de URL voor het metagegevensdocument van de id-provider hebt, geeft u die waarde op voor de METAGEGEVENS-URL. Anders selecteert u de optie Eindpunten opgeven afzonderlijk en plaatst u elke URL die is verzameld bij de id-provider in het juiste veld.
- Geef de eerder verzamelde client-id en het clientgeheim op in de juiste velden.
- Geef een naam op voor de toepassingsinstelling voor uw clientgeheim. Uw clientgeheim wordt opgeslagen als een toepassingsinstelling om ervoor te zorgen dat geheimen op een veilige manier worden opgeslagen. U kunt deze instelling later bijwerken om Key Vault-verwijzingen te gebruiken als u het geheim wilt beheren in Azure Key Vault.
- Druk op de knop Toevoegen om het instellen van de id-provider te voltooien.
Notitie
De naam van de OpenID-provider kan geen symbolen zoals '-' bevatten, omdat een appsetting op basis hiervan wordt gemaakt en deze niet wordt ondersteund. Gebruik in plaats daarvan '_'.
Notitie
Azure vereist bereiken 'openid', 'profiel' en 'e-mail'. Zorg ervoor dat u uw app-registratie in uw id-provider hebt geconfigureerd met ten minste deze bereiken.