Konfigurowanie aplikacji App Service lub Azure Functions do korzystania z logowania do konta Microsoft

  • Artykuł

W tym temacie pokazano, jak skonfigurować usługę aplikacja systemu Azure lub usługę Azure Functions, aby używać identyfikatora Entra firmy Microsoft do obsługi osobistych logowań kont Microsoft.

Ważne

Mimo że dostawca konta Microsoft jest nadal obsługiwany, zaleca się, aby aplikacje zamiast tego korzystały z dostawcy Platforma tożsamości Microsoft (Microsoft Entra ID). Platforma tożsamości Microsoft oferuje obsługę kont organizacyjnych i osobistych kont Microsoft.

Rejestrowanie aplikacji przy użyciu konta Microsoft

  1. Przejdź do Rejestracje aplikacji w witrynie Azure Portal. W razie potrzeby zaloguj się przy użyciu konta Microsoft.

  2. Wybierz pozycję Nowa rejestracja, a następnie wprowadź nazwę aplikacji.

  3. W obszarze Obsługiwane typy kont wybierz pozycję Konta w dowolnym katalogu organizacyjnym (dowolny katalog Firmy Microsoft — multitenant) i konta osobiste Microsoft (np. Skype, Xbox)

  4. W obszarze Identyfikatory URI przekierowania wybierz pozycję Sieć Web, a następnie wprowadź .https://<app-domain-name>/.auth/login/aad/callback Zastąp ciąg <app-domain-name> nazwą domeny aplikacji. Na przykład https://contoso.azurewebsites.net/.auth/login/aad/callback. Pamiętaj, aby użyć schematu HTTPS w adresie URL.

  5. Wybierz pozycję Zarejestruj.

  6. Skopiuj identyfikator aplikacji (klienta). Będziesz jej potrzebować później.

  7. W okienku po lewej stronie wybierz pozycję Certyfikaty i wpisy tajne>Nowy klucz tajny klienta. Wprowadź opis, wybierz czas trwania ważności, a następnie wybierz pozycję Dodaj.

  8. Skopiuj wartość wyświetlaną na stronie Certyfikaty i wpisy tajne. Po opuszczeniu strony nie będzie ona ponownie wyświetlana.

    Ważne

    Wartość wpisu tajnego klienta (hasło) jest ważnym poświadczenie zabezpieczeń. Nie udostępniaj hasła nikomu ani nie rozpowszechniaj go w aplikacji klienckiej.

Dodawanie informacji o koncie Microsoft do aplikacji usługi App Service

  1. Przejdź do aplikacji w witrynie Azure Portal.

  2. Wybierz pozycję Ustawienia> Authentication/Authorization i upewnij się, że uwierzytelnianie usługi App Service jest włączone.

  3. W obszarze Dostawcy uwierzytelniania wybierz pozycję Microsoft Entra ID. Wybierz pozycję Zaawansowane w obszarze Tryb zarządzania. Wklej identyfikator aplikacji (klienta) i klucz tajny klienta uzyskany wcześniej. Użyj https://login.microsoftonline.com/9188040d-6c67-4c5b-b112-36a304b66dad/v2.0 dla pola Adres URL wystawcy.

  4. Wybierz przycisk OK.

    Usługa App Service zapewnia uwierzytelnianie, ale nie ogranicza autoryzowanego dostępu do zawartości witryny i interfejsów API. Musisz autoryzować użytkowników w kodzie aplikacji.

  5. (Opcjonalnie) Aby ograniczyć dostęp do użytkowników konta Microsoft, ustaw opcję Akcja, która ma być wykonywana, gdy żądanie nie jest uwierzytelnione w usłudze Log in with Microsoft Entra ID (Zaloguj się przy użyciu identyfikatora Entra firmy Microsoft). Po ustawieniu tej funkcji aplikacja wymaga uwierzytelnienia wszystkich żądań. Przekierowuje również wszystkie nieuwierzytelnione żądania, aby używać identyfikatora Entra firmy Microsoft do uwierzytelniania. Należy pamiętać, że ponieważ skonfigurowano adres URL wystawcy do korzystania z dzierżawy konta Microsoft, tylko konta osobiste zostaną pomyślnie uwierzytelnione.

    Uwaga

    Ograniczenie dostępu w ten sposób ma zastosowanie do wszystkich wywołań aplikacji, co może nie być pożądane w przypadku aplikacji, które mają publicznie dostępną stronę główną, jak w wielu aplikacjach jednostronicowych. W przypadku takich aplikacji preferowane może być zezwalanie na żądania anonimowe (bez akcji), aby aplikacja ręcznie uruchamiała uwierzytelnianie. Aby uzyskać więcej informacji, zobacz Przepływ uwierzytelniania.

  6. Wybierz pozycję Zapisz.

Teraz możesz używać konta Microsoft do uwierzytelniania w aplikacji.

Następne kroki