Szybki start: dodawanie uwierzytelniania aplikacji do aplikacji internetowej działającej w usłudze aplikacja systemu Azure Service

Dowiedz się, jak włączyć uwierzytelnianie dla aplikacji internetowej działającej w usłudze aplikacja systemu Azure i ograniczyć dostęp do użytkowników w organizacji.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Konfigurowanie uwierzytelniania dla aplikacji internetowej.
• Ogranicz dostęp do aplikacji internetowej użytkownikom w organizacji przy użyciu usługi Microsoft Entra jako dostawcy tożsamości.

Automatyczne uwierzytelnianie udostępniane przez usługę App Service

Usługa App Service zapewnia wbudowaną obsługę uwierzytelniania i autoryzacji, dzięki czemu można logować użytkowników bez kodu w aplikacji internetowej. Użycie opcjonalnego modułu uwierzytelniania/autoryzacji usługi App Service upraszcza uwierzytelnianie i autoryzację dla aplikacji. Gdy wszystko będzie gotowe do uwierzytelniania niestandardowego i autoryzacji, tworzysz tę architekturę.

Uwierzytelnianie usługi App Service zapewnia:

• Łatwe włączanie i konfigurowanie za pomocą witryny Azure Portal i ustawień aplikacji.
• Nie są wymagane żadne zestawy SDK, określone języki ani zmiany kodu aplikacji.
• Obsługiwanych jest kilka dostawców tożsamości:
  • Microsoft Entra
  • Konto Microsoft
  • Facebook
  • Google
  • Twitter

Po włączeniu modułu uwierzytelniania/autoryzacji każde przychodzące żądanie HTTP przechodzi przez nie przed obsługą kodu aplikacji. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie i autoryzacja w usłudze aplikacja systemu Azure.

1. Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.

2. Tworzenie i publikowanie aplikacji internetowej w usłudze App Service

Na potrzeby tego samouczka potrzebna jest aplikacja internetowa wdrożona w usłudze App Service. Możesz użyć istniejącej aplikacji internetowej lub wykonać jedną z przewodników Szybki start, aby utworzyć i opublikować nową aplikację internetową w usłudze App Service:

• ASP.NET Core
• Node.js
• Python
• Java

Niezależnie od tego, czy używasz istniejącej aplikacji internetowej, czy tworzysz nową, zanotuj następujące kwestie:

• Nazwa aplikacji internetowej.
• Grupa zasobów wdrożona w aplikacji internetowej.

Te nazwy są potrzebne w tym samouczku.

3. Konfigurowanie uwierzytelniania i autoryzacji

Teraz, gdy masz aplikację internetową działającą w usłudze App Service, włącz uwierzytelnianie i autoryzację. Firma Microsoft Entra jest używana jako dostawca tożsamości. Aby uzyskać więcej informacji, zobacz Configure Microsoft Entra authentication for your App Service application (Konfigurowanie uwierzytelniania entra firmy Microsoft dla aplikacji usługi App Service).

Konfiguracja pracowników

1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie.

2. W obszarze Grupy zasobów znajdź i wybierz grupę zasobów. W obszarze Przegląd wybierz stronę zarządzania aplikacją.

   

3. W menu po lewej stronie aplikacji wybierz pozycję Uwierzytelnianie, a następnie wybierz pozycję Dodaj dostawcę tożsamości.

4. Na stronie Dodawanie dostawcy tożsamości wybierz pozycję Microsoft jako dostawcę tożsamości, aby zalogować się do tożsamości firmy Microsoft i tożsamości firmy Microsoft.

5. W obszarze Typ dzierżawy wybierz pozycję Konfiguracja pracowników (bieżąca dzierżawa) dla pracowników i gości biznesowych.

6. W polu Typ rejestracji>aplikacji wybierz pozycję Utwórz nową rejestrację aplikacji, aby utworzyć nową rejestrację aplikacji w usłudze Microsoft Entra.

7. Dodaj nazwę rejestracji aplikacji, publiczną nazwę wyświetlaną.

8. W obszarze Typy kont obsługiwanych rejestracji>aplikacji wybierz pozycję Bieżąca dzierżawa z jedną dzierżawą, aby tylko użytkownicy w organizacji mogli logować się do aplikacji internetowej.

9. W sekcji Ustawienia uwierzytelniania usługi App Service pozostaw opcję Uwierzytelnianie ustawione na wartość Wymagaj uwierzytelniania i Nieuwierzytelnione żądania ustawione na znaleziono przekierowanie HTTP 302: zalecane dla witryn internetowych.

10. W dolnej części strony Dodawanie dostawcy tożsamości wybierz pozycję Dodaj , aby włączyć uwierzytelnianie dla aplikacji internetowej.

    

    Masz teraz aplikację zabezpieczoną za pomocą uwierzytelniania i autoryzacji usługi App Service.

    Uwaga

    Aby zezwolić na konta z innych dzierżaw, zmień wartość "Adres URL wystawcy" na "https://login.microsoftonline.com/common/v2.0", edytując dostawcę tożsamości z bloku "Uwierzytelnianie".

Konfiguracja zewnętrzna

1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie.

2. W obszarze Grupy zasobów znajdź i wybierz grupę zasobów. W obszarze Przegląd wybierz stronę zarządzania aplikacją.

   

3. W menu po lewej stronie aplikacji wybierz pozycję Uwierzytelnianie, a następnie wybierz pozycję Dodaj dostawcę tożsamości.

4. Na stronie Dodawanie dostawcy tożsamości wybierz pozycję Microsoft jako dostawcę tożsamości, aby zalogować się do tożsamości firmy Microsoft i tożsamości firmy Microsoft.

5. W polu Typ dzierżawy wybierz pozycję Konfiguracja zewnętrzna dla użytkowników zewnętrznych.

6. Wybierz pozycję Utwórz nową rejestrację aplikacji, aby utworzyć nową rejestrację aplikacji, a następnie wybierz dzierżawę klienta (zewnętrzną), której chcesz użyć.

7. Wybierz pozycję Konfiguruj , aby skonfigurować uwierzytelnianie zewnętrzne.

   

8. Zostanie otwarta przeglądarka Configure customer authentication (Konfigurowanie uwierzytelniania klienta). W obszarze Konfigurowanie logowania wybierz pozycję Utwórz nowy , aby utworzyć środowisko logowania dla użytkowników zewnętrznych.

9. Wprowadź nazwę przepływu użytkownika.

10. W tym przewodniku Szybki start wybierz pozycję Adres e-mail i hasło , które umożliwia nowym użytkownikom rejestrację i logowanie się przy użyciu adresu e-mail jako nazwy logowania i hasła jako pierwszego poświadczenia czynnika.

11. Wybierz pozycję Utwórz, aby utworzyć przepływ użytkownika.

    

12. Wybierz przycisk Dalej , aby dostosować znakowanie.

13. Dodaj logo firmy, wybierz kolor tła i wybierz układ logowania.

    

14. Wybierz pozycję Dalej i Tak, zaktualizuj zmiany, aby zaakceptować zmiany znakowania.

15. Wybierz pozycję Konfiguruj na karcie Przegląd , aby potwierdzić aktualizację dzierżawy identyfikatora zewnętrznego (CIAM).

16. Zostanie otwarta przeglądarka Dodaj dostawcę tożsamości.

17. W sekcji Ustawienia uwierzytelniania usługi App Service wybierz pozycję:

    • Zezwalaj na żądania tylko z tej aplikacji dla wymagań aplikacji klienckiej
    • Zezwalaj na żądania z dowolnej tożsamości dla wymagań dotyczących tożsamości
    • Zezwalaj na żądania tylko z dzierżawy wystawcy na potrzeby dzierżawy

18. W sekcji Ustawienia uwierzytelniania usługi App Service ustaw następujące ustawienia:

    • Wymaganie uwierzytelniania dla uwierzytelniania
    • Znaleziono przekierowanie HTTP 302: zalecane w przypadku witryn internetowych dla nieuwierzytelnionych żądań
    • Pole magazynu tokenów

19. W dolnej części strony Dodawanie dostawcy tożsamości wybierz pozycję Dodaj , aby włączyć uwierzytelnianie dla aplikacji internetowej.

    

4. Sprawdź ograniczony dostęp do aplikacji internetowej

Po włączeniu modułu uwierzytelniania/autoryzacji usługi App Service w poprzedniej sekcji rejestracja aplikacji została utworzona w dzierżawie pracowników lub klienta (zewnętrznego). Rejestracja aplikacji ma taką samą nazwę wyświetlaną jak aplikacja internetowa.

1. Aby sprawdzić ustawienia, zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji. W razie potrzeby użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy klienta (zewnętrznej) przy użyciu aplikacji internetowej z menu Subskrypcje + katalogów. Jeśli jesteś w odpowiedniej dzierżawie:

2. Przejdź do pozycji Identity>Applications> Rejestracje aplikacji i wybierz pozycję Aplikacje> Rejestracje aplikacji z menu.

3. Wybierz utworzoną rejestrację aplikacji.

4. W przeglądzie sprawdź, czy obsługiwane typy kont są ustawione tylko na Moja organizacja.

5. Aby sprawdzić, czy dostęp do aplikacji jest ograniczony do użytkowników w organizacji, przejdź do obszaru Przegląd aplikacji internetowej i wybierz link Domyślna domena. Możesz też uruchomić przeglądarkę w trybie incognito lub prywatnym i przejść do strony https://<app-name>.azurewebsites.net.

   

6. Powinno nastąpić przekierowanie do zabezpieczonej strony logowania, sprawdzając, czy nieuwierzytelnieni użytkownicy nie mają dostępu do witryny.

7. Zaloguj się jako użytkownik w organizacji, aby uzyskać dostęp do witryny. Możesz również uruchomić nową przeglądarkę i spróbować zalogować się przy użyciu konta osobistego, aby sprawdzić, czy użytkownicy spoza organizacji nie mają dostępu.

5. Czyszczenie zasobów

Jeśli wszystkie kroki opisane w tym samouczku wieloczęściowym zostały wykonane, utworzono usługę App Service, plan hostingu usługi App Service i konto magazynu w grupie zasobów. Utworzono również rejestrację aplikacji w identyfikatorze Entra firmy Microsoft. Gdy te zasoby i rejestracja aplikacji nie będą już potrzebne, usuń je, aby nie były naliczane opłaty.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Usuń zasoby platformy Azure utworzone podczas wykonywania kroków samouczka.

Usuwanie grupy zasobów

W witrynie Azure Portal wybierz pozycję Grupy zasobów z menu portalu i wybierz grupę zasobów zawierającą usługę App Service i plan usługi App Service.

Wybierz pozycję Usuń grupę zasobów, aby usunąć grupę zasobów i wszystkie zasoby.

Uruchomienie tego polecenia może potrwać kilka minut.

Usuwanie rejestracji aplikacji

W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Aplikacje> Rejestracje aplikacji. Następnie wybierz utworzoną aplikację.

W przeglądzie rejestracji aplikacji wybierz pozycję Usuń.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

• Konfigurowanie uwierzytelniania dla aplikacji internetowej.
• Ogranicz dostęp do aplikacji internetowej do użytkowników w organizacji.

Usługa App Service uzyskuje dostęp do magazynu