Настройка приложения в Службе приложений или службе "Функции Azure" для использования входа по учетной записи Майкрософт
В этом разделе показано, как настроить службу приложение Azure или Функции Azure использовать идентификатор Microsoft Entra для поддержки личных учетных записей Майкрософт.
Важно!
Хотя поставщик учетной записи Майкрософт по-прежнему поддерживается, рекомендуется использовать вместо приложений поставщик платформа удостоверений Майкрософт (идентификатор Microsoft Entra). Платформа удостоверений Майкрософт предлагает поддержку учетных записей организации и личных учетных записей Майкрософт.
Регистрация приложения с использованием учетной записи Майкрософт
Перейдите на страницу Регистрация приложений на портале Azure. Если потребуется, войдите в систему с учетной записью Майкрософт.
Выберите Новая регистрация и введите имя приложения.
В разделе "Поддерживаемые типы учетных записей" выберите учетные записи в любом каталоге организации (любой каталог Microsoft Entra — Multitenant) и личных учетных записей Майкрософт (например, Skype, Xbox)
В разделе URI перенаправления выберите Интернет и введите
https://<app-domain-name>/.auth/login/aad/callback. Замените заполнитель <app-domain-name> доменным именем реального приложения. Например,https://contoso.azurewebsites.net/.auth/login/aad/callback. Убедитесь, что в URL-адресе используется схема HTTPS.Выберите Зарегистрировать.
Скопируйте значение в поле Идентификатор приложения (клиента). Оно понадобится вам позже.
На панели слева выберите Сертификаты и секреты>Новый секрет клиента. Введите описание, выберите срок действия и щелкните Добавить.
Скопируйте значение, которое отображается на странице Сертификаты и секреты. Если страница закроется, это значение больше не отобразится.
Важно!
Значение секрета (пароля) клиента используется как учетные данные и является важным элементом системы безопасности. Не сообщайте пароль никому и не раскрывайте его в клиентском приложении.
Добавление данных учетной записи Майкрософт в приложение службы приложений
Найдите нужное приложение на портале Azure.
Последовательно выберите Параметры>Аутентификация или авторизация и установите для параметра Проверка подлинности Службы приложений значение Вкл.
В разделе "Поставщики проверки подлинности" выберите идентификатор Microsoft Entra. В разделе Дополнительно выберите Режим управления. Вставьте значения идентификатора приложения (клиента) и секрета клиента, полученные ранее. Укажите
https://login.microsoftonline.com/9188040d-6c67-4c5b-b112-36a304b66dad/v2.0в поле URL-адрес издателя.Нажмите ОК.
Служба приложений обеспечивает проверку подлинности, но не ограничивает авторизованный доступ к содержимому сайта и API. Авторизация пользователей должна быть включена в код приложения.
(Необязательно) Чтобы ограничить доступ к пользователям учетной записи Майкрософт, задайте действие, если запрос не прошел проверку подлинности для входа с помощью идентификатора Microsoft Entra. При установке этой функции приложению требуется выполнить проверку подлинности всех запросов. Он также перенаправляет все неавтоентизованные запросы на использование идентификатора Microsoft Entra для проверки подлинности. Обратите внимание, что проверка подлинности будет успешной только для личных учетных записей, так как для параметра URL-адрес поставщика вы указали адрес арендатора учетной записи Майкрософт.
Внимание
Таким образом, ограниченный доступ применяется ко всем вызовам приложения, что может быть нежелательно для приложений, у которых есть общедоступная домашняя страница (как во многих одностраничных приложениях). Для таких приложений, возможно, стоит установить параметр Разрешить анонимные запросы (нет действия), чтобы приложение самостоятельно обрабатывало проверку подлинности. Дополнительные сведения см. в разделе Поток проверки подлинности.
Выберите Сохранить.
Теперь вы можете использовать учетную запись Майкрософт для проверки подлинности в приложении.