Beheerde identiteiten voor Azure SignalR Service

  • Artikel

In Azure SignalR Service kunt u een beheerde identiteit van Microsoft Entra-id gebruiken om:

  • Toegangstokens verkrijgen.
  • Toegang tot geheimen in Azure Key Vault.

De service ondersteunt slechts één beheerde identiteit. U kunt een door het systeem toegewezen of een door de gebruiker toegewezen identiteit maken. Een door het systeem toegewezen identiteit is toegewezen aan uw Azure SignalR Service-exemplaar en wordt verwijderd wanneer u het exemplaar verwijdert. Een door de gebruiker toegewezen identiteit wordt onafhankelijk van uw Azure SignalR Service-resource beheerd.

In dit artikel leest u hoe u een beheerde identiteit maakt voor Azure SignalR Service en hoe u deze kunt gebruiken in serverloze scenario's.

Vereisten

Als u een beheerde identiteit wilt gebruiken, moet u de volgende items hebben:

  • Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.
  • Een Azure SignalR Service-resource.
  • Upstream-resources die u wilt openen, zoals een Azure Key Vault-resource.
  • Een Azure Functions-app (functie-app).

Een beheerde identiteit toevoegen aan Azure SignalR Service

U kunt een beheerde identiteit toevoegen aan Azure SignalR Service in Azure Portal of de Azure CLI. In dit artikel leest u hoe u een beheerde identiteit toevoegt aan Azure SignalR Service in Azure Portal.

Een door het systeem toegewezen identiteit toevoegen

Een door het systeem toegewezen beheerde identiteit toevoegen aan uw Azure SignalR Service-exemplaar:

  1. Blader in Azure Portal naar uw Azure SignalR Service-exemplaar.

  2. Selecteer Identiteit.

  3. Schakel op het tabblad Door systeem toegewezen status over naar Aan.

    Screenshot that shows selections for adding a system-assigned identity in the portal.

  4. Selecteer Opslaan.

  5. Selecteer Ja om de wijziging te bevestigen.

Een door de gebruiker toegewezen identiteit toevoegen

Als u een door de gebruiker toegewezen identiteit wilt toevoegen aan uw Azure SignalR Service-exemplaar, moet u de identiteit maken en deze vervolgens toevoegen aan de service.

  1. Maak een door de gebruiker toegewezen beheerde identiteitresource volgens deze instructies.

  2. Blader in Azure Portal naar uw Azure SignalR Service-exemplaar.

  3. Selecteer Identiteit.

  4. Selecteer Toevoegen op het tabblad Toegewezen gebruiker.

  5. Selecteer de identiteit in het vervolgkeuzemenu Door de gebruiker toegewezen beheerde identiteiten .

    Screenshot that shows selections for adding a user-assigned identity in the portal.

  6. Selecteer Toevoegen.

Een beheerde identiteit gebruiken in serverloze scenario's

Azure SignalR Service is een volledig beheerde service. Er wordt een beheerde identiteit gebruikt om een toegangstoken te verkrijgen. In serverloze scenario's voegt de service het toegangstoken toe aan de Authorization header in een upstream-aanvraag.

Verificatie van beheerde identiteit inschakelen in upstream-instellingen

Nadat u een door het systeem toegewezen identiteit of door de gebruiker toegewezen identiteit hebt toegevoegd aan uw Azure SignalR Service-exemplaar, kunt u verificatie van beheerde identiteiten inschakelen in de upstream-eindpuntinstellingen:

  1. Blader in Azure Portal naar uw Azure SignalR Service-exemplaar.

  2. Selecteer Instellingen in het menu.

  3. Selecteer de serverloze servicemodus.

  4. Voer in het tekstvak Een upstream-URL-patroon toevoegen het url-patroon van het upstream-eindpunt in. Zie url-sjablooninstellingen.

  5. Selecteer Eén Upstream-instelling toevoegen en selecteer vervolgens een sterretje.

    Screenshot that shows Azure SignalR Service settings for adding an upstream URL pattern.

  6. Configureer uw upstream-eindpuntinstellingen in Upstream Instellingen.

    Screenshot of upstream settings for Azure SignalR Service.

  7. In de instellingen voor verificatie van beheerde identiteiten kunt u voor doelgroep in het uitgegeven token de doelresource opgeven. De resource wordt een aud claim in het verkregen toegangstoken, dat kan worden gebruikt als onderdeel van validatie in uw upstream-eindpunten. De resource kan een van de volgende indelingen hebben:

    • Toepassings-id (client) van de service-principal.
    • De URI van de toepassings-id van de service-principal.

    Belangrijk

    Met behulp van een lege resource verwerft u een tokendoelen voor Microsoft Graph. Zoals tegenwoordig maakt Microsoft Graph tokenversleuteling mogelijk, zodat deze niet beschikbaar is voor de toepassing om het andere token dan Microsoft Graph te verifiëren. In de praktijk moet u altijd een service-principal maken om uw upstream-doel weer te geven. En stel de URI van de toepassings-id of toepassings-id in van de service-principal die u hebt gemaakt.

Verificatie in een functie-app

U kunt eenvoudig toegangsvalidatie instellen voor een functie-app zonder codewijzigingen met behulp van Azure Portal:

  1. Ga in Azure Portal naar de functie-app.

  2. Selecteer in het menu de optie Verificatie.

  3. Selecteer Id-provider toevoegen.

  4. Selecteer Microsoft op het tabblad Basisbeginselen in de vervolgkeuzelijst Id-provider.

  5. Selecteer aanmelden met Microsoft Entra-id als de aanvraag niet is geverifieerd.

  6. De optie voor het maken van een nieuwe registratie is standaard geselecteerd. U kunt de naam van de registratie wijzigen. Zie Uw App Service- of Azure Functions-app configureren voor het gebruik van een Microsoft Entra ID-aanmelding voor meer informatie over het inschakelen van een Microsoft Entra-provider.

    Screenshot that shows basic information for adding an identity provider.

  7. Ga naar Azure SignalR Service en volg de stappen om een door het systeem toegewezen identiteit of door de gebruiker toegewezen identiteit toe te voegen.

  8. Ga in Azure SignalR Service naar Upstream-instellingen en selecteer Vervolgens Beheerde identiteit gebruiken en Selecteer uit bestaande toepassingen. Selecteer de toepassing die u eerder hebt gemaakt.

Nadat u deze instellingen hebt geconfigureerd, weigert de functie-app aanvragen zonder toegangstoken in de header.

Toegangstokens valideren

Als u geen web-app of Azure-functie gebruikt, kunt u het token ook valideren.

Het token in de Authorization header is een toegangstoken voor het Microsoft Identity Platform.

Als u toegangstokens wilt valideren, moet uw app ook de doelgroep en de ondertekeningstokens valideren. Deze tokens moeten worden gevalideerd op basis van de waarden in het OpenID-detectiedocument. Zie de tenantonafhankelijke versie van het document voor een voorbeeld.

De Microsoft Entra-middleware heeft ingebouwde mogelijkheden voor het valideren van toegangstokens. U kunt door de codevoorbeelden van het Microsoft Identity Platform bladeren om er een te vinden in de taal van uw keuze.

Bibliotheken en codevoorbeelden die laten zien hoe u tokenvalidatie kunt verwerken, zijn beschikbaar. Er zijn ook verschillende opensource-partnerbibliotheken beschikbaar voor JSON-webtokenvalidatie (JWT). Er is ten minste één optie voor bijna elk platform en elke taal. Zie Microsoft Identity Platform-verificatiebibliotheken en codevoorbeelden voor meer informatie over Microsoft Entra-verificatiebibliotheken.

Een beheerde identiteit gebruiken voor een Key Vault-verwijzing

Azure SignalR Service heeft toegang tot Key Vault om geheimen op te halen met behulp van de beheerde identiteit.

  1. Voeg een door het systeem toegewezen identiteit of door de gebruiker toegewezen identiteit toe aan uw Azure SignalR Service-exemplaar.
  2. Verdeel geheime leesmachtigingen voor de beheerde identiteit in het toegangsbeleid in Key Vault. Zie Toegangsbeleid voor Key Vault toewijzen met behulp van Azure Portal.

Op dit moment kunt u deze functie gebruiken om te verwijzen naar een geheim in het upstream-URL-patroon.

Volgende stappen