Beheerde identiteiten voor Azure Web PubSub Service

  • Artikel

In dit artikel leest u hoe u een beheerde identiteit maakt voor Azure Web PubSub Service en hoe u deze kunt gebruiken.

Belangrijk

Azure Web PubSub Service kan slechts één beheerde identiteit ondersteunen. Dit betekent dat u een door het systeem toegewezen identiteit of een door de gebruiker toegewezen identiteit kunt toevoegen.

Een door het systeem toegewezen identiteit toevoegen

Als u een beheerde identiteit wilt instellen in Azure Portal, maakt u eerst een Exemplaar van de Azure Web PubSub Service en schakelt u vervolgens de functie in.

  1. Maak een Azure Web PubSub Service-exemplaar in de portal zoals u dat normaal zou doen. Blader ernaar in de portal.

  2. Selecteer Identiteit.

  3. Schakel op het tabblad Door systeem toegewezen status over naar Aan. Selecteer Opslaan.

    Add a system-assigned identity in the portal

Een door de gebruiker toegewezen identiteit toevoegen

Voor het maken van een Azure Web PubSub Service-exemplaar met een door de gebruiker toegewezen identiteit moet u de identiteit maken en vervolgens de resource-id aan uw service toevoegen.

  1. Maak een door de gebruiker toegewezen beheerde identiteitresource volgens deze instructies.

  2. Maak een Azure Web PubSub Service-exemplaar in de portal zoals u dat normaal zou doen. Blader ernaar in de portal.

  3. Selecteer Identiteit.

  4. Selecteer Toevoegen op het tabblad Toegewezen gebruiker.

  5. Zoek naar de identiteit die u eerder hebt gemaakt en selecteert deze. Selecteer Toevoegen.

    Add a user-assigned identity in the portal

Een beheerde identiteit gebruiken in client-gebeurtenissenscenario's

Azure Web PubSub Service is een volledig beheerde service, dus u kunt geen beheerde identiteit gebruiken om tokens handmatig op te halen. Wanneer Azure Web PubSub Service gebeurtenissen naar gebeurtenishandler verzendt, wordt in plaats daarvan de beheerde identiteit gebruikt om een toegangstoken te verkrijgen. De service stelt vervolgens het toegangstoken in de Authorization header in de HTTP-aanvraag in.

Verificatie van beheerde identiteit inschakelen in gebeurtenis-handlerinstellingen

  1. Voeg een door het systeem toegewezen identiteit of door de gebruiker toegewezen identiteit toe.

  2. Navigeer naar Hub configureren Instellingen en voeg een gebeurtenis-handler upstream toe of bewerk deze.

    msi-setting

  3. Selecteer Verificatie gebruiken in de sectie Verificatie gebruiken en schakel het selectievakje Geef de uitgegeven tokendoelgroep op. De doelgroep wordt de aud claim in het verkregen toegangstoken, dat kan worden gebruikt als onderdeel van validatie in uw gebeurtenis-handler. U kunt een van de volgende opties kiezen:

    • Selecteer een van de bestaande Microsoft Entra-toepassingen. De toepassings-id van degene die u kiest, wordt gebruikt.
    • De URI van de toepassings-id van de service-principal.

    Belangrijk

    Met behulp van een lege resource verwerft u een tokendoelen voor Microsoft Graph. Zoals tegenwoordig maakt Microsoft Graph tokenversleuteling mogelijk, zodat deze niet beschikbaar is voor de toepassing om het andere token dan Microsoft Graph te verifiëren. In de praktijk moet u altijd een service-principal maken om uw upstream-doel weer te geven. En stel de URI van de toepassings-id of toepassings-id in van de service-principal die u hebt gemaakt.

Verificatie in een functie-app

U kunt eenvoudig toegangsvalidatie instellen voor een functie-app zonder codewijzigingen met behulp van Azure Portal:

  1. Ga in Azure Portal naar de functie-app.

  2. Selecteer in het menu de optie Verificatie.

  3. Selecteer Id-provider toevoegen.

  4. Selecteer Microsoft op het tabblad Basisbeginselen in de vervolgkeuzelijst Id-provider.

  5. Selecteer aanmelden met Microsoft Entra-id als de aanvraag niet is geverifieerd.

  6. De optie voor het maken van een nieuwe registratie is standaard geselecteerd. U kunt de naam van de registratie wijzigen. Zie Uw App Service- of Azure Functions-app configureren voor het gebruik van een Microsoft Entra ID-aanmelding voor meer informatie over het inschakelen van een Microsoft Entra-provider.

    Screenshot that shows basic information for adding an identity provider.

  7. Ga naar Azure SignalR Service en volg de stappen om een door het systeem toegewezen identiteit of door de gebruiker toegewezen identiteit toe te voegen.

  8. Ga in Azure SignalR Service naar Upstream-instellingen en selecteer Vervolgens Beheerde identiteit gebruiken en Selecteer uit bestaande toepassingen. Selecteer de toepassing die u eerder hebt gemaakt.

Nadat u deze instellingen hebt geconfigureerd, weigert de functie-app aanvragen zonder toegangstoken in de header.

Toegangstokens valideren

Als u geen web-app of Azure-functie gebruikt, kunt u het token ook valideren.

Het token in de Authorization header is een toegangstoken voor het Microsoft Identity Platform.

Als u toegangstokens wilt valideren, moet uw app ook de doelgroep en de ondertekeningstokens valideren. Deze moeten worden gevalideerd op basis van de waarden in het OpenID-detectiedocument. Zie bijvoorbeeld de tenantonafhankelijke versie van het document.

De Microsoft Entra-middleware heeft ingebouwde mogelijkheden voor het valideren van toegangstokens. U kunt door onze voorbeelden bladeren om er een te vinden in de taal van uw keuze.

We bieden bibliotheken en codevoorbeelden die laten zien hoe u tokenvalidatie kunt verwerken. Er zijn ook verschillende opensource-partnerbibliotheken beschikbaar voor JSON-webtokenvalidatie (JWT). Er is ten minste één optie voor bijna elk platform en elke taal. Zie Microsoft Identity Platform-verificatiebibliotheken voor meer informatie over Microsoft Entra-autorisatiebibliotheken en codevoorbeelden.

Als de gebeurtenis-handler hosts in Azure Function of Web Apps is, is het een eenvoudige manier om Microsoft Entra-aanmelding te configureren.

Een beheerde identiteit gebruiken voor Key Vault-naslaginformatie

Web PubSub Service heeft toegang tot Key Vault om een geheim op te halen met behulp van de beheerde identiteit.

  1. Voeg een door het systeem toegewezen identiteit of door de gebruiker toegewezen identiteit toe voor Azure Web PubSub Service.

  2. Verdeel geheime leesmachtigingen voor de beheerde identiteit in het toegangsbeleid in de Sleutelkluis. Zie Toegangsbeleid voor Key Vault toewijzen met behulp van Azure Portal

Deze functie kan momenteel worden gebruikt in de volgende scenario's:

  • Gebruik de syntaxis {@Microsoft.KeyVault(SecretUri=<secret-identity>)} om geheimen op te halen uit KeyVault in de url-sjablooninstelling voor de gebeurtenishandler.

Volgende stappen