Aangepaste verificatie in Azure Static Web Apps

Azure Static Web Apps biedt beheerde verificatie die gebruikmaakt van providerregistraties die worden beheerd door Azure. Als u meer flexibiliteit wilt bieden voor de registratie, kunt u de standaardwaarden overschrijven met een aangepaste registratie.

• Met aangepaste verificatie kunt u ook aangepaste providers configureren die ondersteuning bieden voor OpenID-Verbinding maken. Met deze configuratie kunt u meerdere externe providers registreren.

• Als u aangepaste registraties gebruikt, worden alle vooraf geconfigureerde providers uitgeschakeld.

Notitie

Aangepaste verificatie is alleen beschikbaar in het Azure Static Web Apps Standard-abonnement.

Een aangepaste id-provider configureren

Aangepaste id-providers worden geconfigureerd in de auth sectie van het configuratiebestand.

Om te voorkomen dat geheimen in broncodebeheer worden opgenomen, zoekt de configuratie naar toepassingsinstellingen voor een overeenkomende naam in het configuratiebestand. U kunt er ook voor kiezen om uw geheimen op te slaan in Azure Key Vault.

Microsoft Entra-id

Als u de registratie wilt maken, begint u met het maken van de volgende toepassingsinstellingen:

Naam van instelling	Waarde
AZURE_CLIENT_ID	De toepassings-id (client) voor de registratie van de Microsoft Entra-app.
AZURE_CLIENT_SECRET	Het clientgeheim voor de registratie van de Microsoft Entra-app.

Gebruik vervolgens het volgende voorbeeld om de provider in het configuratiebestand te configureren.

Microsoft Entra-providers zijn beschikbaar in twee verschillende versies. Versie 1 definieert expliciet de userDetailsClaim, waarmee de nettolading gebruikersgegevens kan retourneren. Versie 2 retourneert daarentegen standaard gebruikersgegevens en wordt aangeduid in v2.0 de openIdIssuer URL.

Microsoft Entra versie 1

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Zorg ervoor dat u vervangt door <TENANT_ID> uw Microsoft Entra-tenant-id.

Microsoft Entra versie 2

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Zorg ervoor dat u vervangt door <TENANT_ID> uw Microsoft Entra-tenant-id.

Zie de documentatie over App Service-verificatie/autorisatie voor het gebruik van een bestaande registratie voor meer informatie over het configureren van Microsoft Entra-id.

Zie De accounts wijzigen die worden ondersteund door een toepassing en uw Microsoft Entra-app beperken tot een set gebruikers in een Microsoft Entra-tenant om te configureren welke accounts zich kunnen aanmelden.

Notitie

Hoewel de configuratiesectie voor Microsoft Entra-id is azureActiveDirectory, wordt dit aad door het platform opgeslagen in de URL's voor aanmelding, afmelden en opschonen van gebruikersgegevens. Raadpleeg de sectie Verificatie en autorisatie voor meer informatie.

Apple

Als u de registratie wilt maken, begint u met het maken van de volgende toepassingsinstellingen:

Naam van instelling	Waarde
APPLE_CLIENT_ID	De Apple-client-id.
APPLE_CLIENT_SECRET	Het Apple-clientgeheim.

Gebruik vervolgens het volgende voorbeeld om de provider in het configuratiebestand te configureren.

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Zie de documentatie voor App Service-verificatie/autorisatie voor meer informatie over het configureren van Apple als verificatieprovider.

Facebook

Als u de registratie wilt maken, begint u met het maken van de volgende toepassingsinstellingen:

Naam van instelling	Waarde
FACEBOOK_APP_ID	De Facebook-toepassings-id.
FACEBOOK_APP_SECRET	Het Facebook-toepassingsgeheim.

Gebruik vervolgens het volgende voorbeeld om de provider in het configuratiebestand te configureren.

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET"
        }
      }
    }
  }
}

Zie de documentatie voor App Service-verificatie/autorisatie voor meer informatie over het configureren van Facebook als verificatieprovider.

GitHub

Als u de registratie wilt maken, begint u met het maken van de volgende toepassingsinstellingen:

Naam van instelling	Waarde
GITHUB_CLIENT_ID	De GitHub-client-id.
GITHUB_CLIENT_SECRET	Het GitHub-clientgeheim.

Gebruik vervolgens het volgende voorbeeld om de provider in het configuratiebestand te configureren.

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET"
        }
      }
    }
  }
}

Google

Als u de registratie wilt maken, begint u met het maken van de volgende toepassingsinstellingen:

Naam van instelling	Waarde
GOOGLE_CLIENT_ID	De Google-client-id.
GOOGLE_CLIENT_SECRET	Het Google-clientgeheim.

Gebruik vervolgens het volgende voorbeeld om de provider in het configuratiebestand te configureren.

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Zie de documentatie voor App Service-verificatie/autorisatie voor meer informatie over het configureren van Google als verificatieprovider.

Twitter

Als u de registratie wilt maken, begint u met het maken van de volgende toepassingsinstellingen:

Naam van instelling	Waarde
TWITTER_CONSUMER_KEY	De Twitter-consumentensleutel.
TWITTER_CONSUMER_SECRET	Het Twitter-consumentengeheim.

Gebruik vervolgens het volgende voorbeeld om de provider in het configuratiebestand te configureren.

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "TWITTER_CONSUMER_KEY",
          "consumerSecretSettingName": "TWITTER_CONSUMER_SECRET"
        }
      }
    }
  }
}

Zie de documentatie voor App Service-verificatie/autorisatie voor meer informatie over het configureren van Twitter als verificatieprovider.

OpenID Connect

U kunt Azure Static Web Apps configureren voor het gebruik van een aangepaste verificatieprovider die voldoet aan de OIDC-specificatie (OpenID Verbinding maken). De volgende stappen zijn vereist voor het gebruik van een aangepaste OIDC-provider.

• Een of meer OIDC-providers zijn toegestaan.
• Elke provider moet een unieke naam hebben in de configuratie.
• Slechts één provider kan fungeren als het standaardomleidingsdoel.

Uw toepassing registreren bij de id-provider

U moet de gegevens van uw toepassing registreren bij een id-provider. Neem contact op met de provider met betrekking tot de stappen die nodig zijn om een client-id en clientgeheim voor uw toepassing te genereren.

Zodra de toepassing is geregistreerd bij de id-provider, maakt u de volgende toepassingsgeheimen in de toepassingsinstellingen van de statische web-app:

Naam van instelling	Waarde
MY_PROVIDER_CLIENT_ID	De client-id die is gegenereerd door de verificatieprovider voor uw statische web-app.
MY_PROVIDER_CLIENT_SECRET	Het clientgeheim dat wordt gegenereerd door de aangepaste registratie van de verificatieprovider voor uw statische web-app.

Als u extra providers registreert, heeft elke provider een gekoppelde client-id en clientgeheimopslag nodig in de toepassingsinstellingen.

Belangrijk

Toepassingsgeheimen zijn gevoelige beveiligingsaanmeldingsgegevens. Deel dit geheim niet met iemand, distribueer het in een clienttoepassing of check het in bij broncodebeheer.

Zodra u de registratiereferenties hebt, gebruikt u de volgende stappen om een aangepaste registratie te maken.

1. U hebt de OpenID Verbinding maken metagegevens voor de provider nodig. Deze informatie wordt vaak weergegeven via een document met configuratiemetagegevens. Dit is de URL van de verlener van de provider met /.well-known/openid-configurationhet achtervoegsel . Verzamel deze configuratie-URL.

2. Voeg een sectie auth van het configuratiebestand toe met een configuratieblok voor de OIDC-providers en uw providerdefinitie.

   {
     "auth": {
       "identityProviders": {
         "customOpenIdConnectProviders": {
           "myProvider": {
             "registration": {
               "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
               "clientCredential": {
                 "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET"
               },
               "openIdConnectConfiguration": {
                 "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
               }
             },
             "login": {
               "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
               "scopes": [],
               "loginParameterNames": []
             }
           }
         }
       }
     }
   }
   

• De providernaam is in myProvider dit voorbeeld de unieke id die wordt gebruikt door Azure Static Web Apps.
• Zorg ervoor dat u vervangt door <PROVIDER_ISSUER_URL> het pad naar de URL van de uitgever van de provider.
• Met login het object kunt u waarden opgeven voor: aangepaste bereiken, aanmeldingsparameters of aangepaste claims.

Callbacks voor verificatie

Id-providers vereisen een omleidings-URL om de aanmeldings- of afmeldingsaanvraag te voltooien. Voor de meeste providers moet u de callback-URL's toevoegen aan een acceptatielijst. De volgende eindpunten zijn beschikbaar als omleidingsbestemmingen.

Type	URL-patroon
Aanmelden	https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback
Afmelden	https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback

Als u Microsoft Entra-id gebruikt, gebruikt aad u deze als de waarde voor de <PROVIDER_NAME_IN_CONFIG> tijdelijke aanduiding.

Notitie

Deze URL's worden geleverd door Azure Static Web Apps om het antwoord van de verificatieprovider te ontvangen. U hoeft geen pagina's op deze routes te maken.

Aanmeldings-, afmeldings- en gebruikersgegevens

Als u een aangepaste id-provider wilt gebruiken, gebruikt u de volgende URL-patronen.

Actie	Patroon
Aanmelden	/.auth/login/<PROVIDER_NAME_IN_CONFIG>
Afmelden	/.auth/logout
Gebruikersdetails	/.auth/me
Gebruikersdetails leegmaken	/.auth/purge/<PROVIDER_NAME_IN_CONFIG>

Als u Microsoft Entra-id gebruikt, gebruikt aad u deze als de waarde voor de <PROVIDER_NAME_IN_CONFIG> tijdelijke aanduiding.

Rollen beheren

Elke gebruiker die toegang heeft tot een statische web-app, behoort tot een of meer rollen. Er zijn twee ingebouwde rollen waartoe gebruikers kunnen behoren:

• anoniem: alle gebruikers behoren automatisch tot de anonieme rol.
• geverifieerd: alle gebruikers die zijn aangemeld, behoren tot de geverifieerde rol.

Naast de ingebouwde rollen kunt u aangepaste rollen toewijzen aan gebruikers en ernaar verwijzen in het bestand staticwebapp.config.json .

Uitnodigingen

Een gebruiker toevoegen aan een rol

Als u een gebruiker aan een rol wilt toevoegen, genereert u uitnodigingen waarmee u gebruikers aan specifieke rollen kunt koppelen. Rollen worden gedefinieerd en onderhouden in het bestand staticwebapp.config.json .

Een uitnodiging maken

Uitnodigingen zijn specifiek voor afzonderlijke autorisatieproviders. Houd dus rekening met de behoeften van uw app wanneer u selecteert welke providers u wilt ondersteunen. Sommige providers stellen het e-mailadres van een gebruiker beschikbaar, terwijl anderen alleen de gebruikersnaam van de site opgeven.

Autorisatieprovider	Bloot
Microsoft Entra ID	e-mailadres
GitHub	gebruikersnaam
Twitter	gebruikersnaam

Volg de volgende stappen om een uitnodiging te maken.

1. Ga naar een Static Web Apps-resource in Azure Portal.
2. Selecteer onder Instellingen Rolbeheer.
3. Selecteer Uitnodigen.
4. Selecteer een autorisatieprovider in de lijst met opties.
5. Voeg de gebruikersnaam of het e-mailadres van de geadresseerde toe in het vak Details van genodigde .
   • Voer voor GitHub en Twitter de gebruikersnaam in. Voer voor alle anderen het e-mailadres van de geadresseerde in.
6. Selecteer het domein van uw statische site in de vervolgkeuzelijst Domein .
   • Het domein dat u selecteert, is het domein dat wordt weergegeven in de uitnodiging. Als er een aangepast domein aan uw site is gekoppeld, kiest u het aangepaste domein.
7. Voeg een door komma's gescheiden lijst met rolnamen toe in het vak Rol .
8. Voer het maximum aantal uren in dat de uitnodiging geldig moet blijven.
   • De maximale limiet is 168 uur, dat is zeven dagen.
9. Selecteer Genereren.
10. Kopieer de koppeling vanuit het vak Uitnodigingskoppeling .
11. Stuur een e-mail naar de uitnodigingskoppeling naar de gebruiker waartoe u toegang verleent.

Wanneer de gebruiker de koppeling in de uitnodiging selecteert, wordt hij of zij gevraagd zich aan te melden met het bijbehorende account. Nadat de gebruiker is aangemeld, is deze gekoppeld aan de geselecteerde rollen.

Let op

Zorg ervoor dat uw routeregels niet conflicteren met de geselecteerde verificatieproviders. Het blokkeren van een provider met een routeregel voorkomt dat gebruikers uitnodigingen accepteren.

Roltoewijzingen bijwerken

1. Ga naar een Static Web Apps-resource in Azure Portal.
2. Selecteer onder Instellingen Rolbeheer.
3. Selecteer de gebruiker in de lijst.
4. Bewerk de lijst met rollen in het vak Rol .
5. Selecteer Bijwerken.

Gebruiker verwijderen

1. Ga naar een Static Web Apps-resource in Azure Portal.
2. Selecteer onder Instellingen Rolbeheer.
3. Zoek de gebruiker in de lijst.
4. Schakel het selectievakje in de rij van de gebruiker in.
5. Selecteer Verwijderen.

Houd bij het verwijderen van een gebruiker rekening met de volgende items:

• Als u een gebruiker verwijdert, worden de machtigingen ongeldig.
• Wereldwijde doorgifte kan enkele minuten duren.
• Als de gebruiker weer aan de app wordt toegevoegd, worden de userId wijzigingen doorgevoerd.

Functie (preview)

In plaats van het ingebouwde uitnodigingssysteem te gebruiken, kunt u een serverloze functie gebruiken om rollen programmatisch toe te wijzen aan gebruikers wanneer ze zich aanmelden.

Als u aangepaste rollen in een functie wilt toewijzen, kunt u een API-functie definiëren die automatisch wordt aangeroepen wanneer een gebruiker zich verifieert bij een id-provider. De functie wordt doorgegeven aan de gegevens van de gebruiker van de provider. Er moet een lijst met aangepaste rollen worden geretourneerd die aan de gebruiker zijn toegewezen.

Voorbeelden van het gebruik van deze functie zijn:

• Een query uitvoeren op een database om te bepalen welke rollen een gebruiker moet worden toegewezen
• De Microsoft Graph API aanroepen om de rollen van een gebruiker te bepalen op basis van hun Active Directory-groepslidmaatschap
• De rollen van een gebruiker bepalen op basis van claims die worden geretourneerd door de id-provider

Notitie

De mogelijkheid om rollen toe te wijzen via een functie is alleen beschikbaar wanneer aangepaste verificatie is geconfigureerd.

Wanneer deze functie is ingeschakeld, worden alle rollen die zijn toegewezen via het ingebouwde uitnodigingssysteem genegeerd.

Een functie configureren voor het toewijzen van rollen

Als u Static Web Apps wilt configureren voor het gebruik van een API-functie als roltoewijzingsfunctie, voegt u een rolesSource eigenschap toe aan de sectie van het authconfiguratiebestand van uw app. De waarde van de rolesSource eigenschap is het pad naar de API-functie.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

Notitie

Zodra deze is geconfigureerd, kan de functie roltoewijzing niet meer worden geopend door externe HTTP-aanvragen.

Een functie maken voor het toewijzen van rollen

Nadat u de eigenschap in de rolesSource configuratie van uw app hebt gedefinieerd, voegt u een API-functie toe in uw statische web-app op het opgegeven pad. U kunt een beheerde functie-app gebruiken of uw eigen functie-app gebruiken.

Telkens wanneer een gebruiker zich verifieert bij een id-provider, roept de POST-methode de opgegeven functie aan. De functie geeft een JSON-object door in de aanvraagbody die de gegevens van de gebruiker van de provider bevat. Voor sommige id-providers bevat de gebruikersgegevens ook een accessToken die de functie kan gebruiken om API-aanroepen te doen met behulp van de identiteit van de gebruiker.

Zie de volgende voorbeeldpayload van Microsoft Entra ID:

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

De functie kan de gegevens van de gebruiker gebruiken om te bepalen welke rollen aan de gebruiker moeten worden toegewezen. Er moet een HTTP 200-antwoord worden geretourneerd met een JSON-hoofdtekst met een lijst met aangepaste rolnamen die aan de gebruiker moeten worden toegewezen.

Als u bijvoorbeeld de gebruiker wilt toewijzen aan de Reader en Contributor rollen, retourneert u het volgende antwoord:

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

Als u geen andere rollen aan de gebruiker wilt toewijzen, retourneert u een lege roles matrix.

Zie Zelfstudie: Aangepaste rollen toewijzen met een functie en Microsoft Graph voor meer informatie.

Volgende stappen

Gebruikersrollen programmatisch instellen