Włączanie magazynu tokenów uwierzytelniania w usłudze Azure Container Apps
Uwierzytelnianie usługi Azure Container Apps obsługuje funkcję nazywaną magazynem tokenów. Magazyn tokenów to repozytorium tokenów skojarzonych z użytkownikami aplikacji internetowych i interfejsów API. Magazyn tokenów można włączyć, konfigurując aplikację kontenera za pomocą kontenera usługi Azure Blob Storage.
Kod aplikacji czasami musi uzyskiwać dostęp do danych od tych dostawców w imieniu użytkownika, takich jak:
- Publikowanie na osi czasu uwierzytelnionego użytkownika w serwisie Facebook
- Odczytywanie danych firmowych użytkownika przy użyciu interfejsu API programu Microsoft Graph
Zazwyczaj należy napisać kod, aby zbierać, przechowywać i odświeżać tokeny w aplikacji. Za pomocą magazynu tokenów możesz pobierać tokeny , gdy są one potrzebne, i poinformować usługę Container Apps o odświeżeniu, gdy staną się nieprawidłowe.
Gdy magazyn tokenów jest włączony, system uwierzytelniania usługi Container Apps buforuje tokeny identyfikatorów, tokeny dostępu i odświeża tokeny uwierzytelnionej sesji i są one dostępne tylko przez skojarzonego użytkownika.
Uwaga
Funkcja magazynu tokenów jest dostępna w wersji zapoznawczej.
Generowanie adresu URL sygnatury dostępu współdzielonego
Przed utworzeniem magazynu tokenów dla aplikacji kontenera musisz najpierw mieć konto usługi Azure Storage z prywatnym kontenerem obiektów blob.
Przejdź do konta magazynu lub utwórz nowy w witrynie Azure Portal.
W razie potrzeby wybierz pozycję Kontenery i utwórz prywatny kontener obiektów blob.
Wybierz trzy kropki (••) na końcu wiersza dla kontenera magazynu, w którym chcesz utworzyć magazyn tokenów.
Wprowadź wartości odpowiednie dla Twoich potrzeb w oknie Generowanie sygnatury dostępu współdzielonego .
Upewnij się, że w definicji dołączysz uprawnienia do odczytu, zapisu i usuwania .
Uwaga
Upewnij się, że śledzisz daty wygaśnięcia sygnatury dostępu współdzielonego, aby upewnić się, że dostęp do kontenera nie zostanie przerwany.
Wybierz przycisk Generuj adres URL tokenu SAS, aby wygenerować adres URL sygnatury dostępu współdzielonego.
Skopiuj adres URL sygnatury dostępu współdzielonego i wklej go do edytora tekstów, aby użyć go w następnym kroku.
Zapisywanie adresu URL sygnatury dostępu współdzielonego jako wpisu tajnego
Wygenerowany adres URL sygnatury dostępu współdzielonego umożliwia zapisanie go w aplikacji kontenera jako wpisu tajnego. Upewnij się, że uprawnienia skojarzone z magazynem zawierają prawidłowe uprawnienia do kontenera magazynu obiektów blob.
Przejdź do aplikacji kontenera w witrynie Azure Portal.
Wybierz pozycję Wpisy tajne.
Wybierz pozycję Dodaj i wprowadź następujące wartości w oknie Dodawanie wpisu tajnego.
Właściwości Wartość Klucz Wprowadź nazwę wpisu tajnego sygnatury dostępu współdzielonego. Typ Wybierz pozycję Wpis tajny usługi Container Apps. Wartość Wprowadź wartość adresu URL sygnatury dostępu współdzielonego wygenerowaną na podstawie kontenera magazynu.
Tworzenie magazynu tokenów
containerapp auth update Użyj polecenia , aby skojarzyć konto usługi Azure Storage z aplikacją kontenera i utworzyć magazyn tokenów.
W tym przykładzie wartości są umieszczane zamiast tokenów zastępczych otoczonych <> nawiasami kwadratowymi.
az containerapp auth update \
--resource-group <RESOURCE_GROUP_NAME> \
--name <CONTAINER_APP_NAME> \
--sas-url-secret-name <SAS_SECRET_NAME> \
--token-store true
Ponadto możesz utworzyć magazyn tokenów z właściwością sasUrlSettingName przy użyciu szablonu usługi ARM.