Учебник. Добавление проверки подлинности в веб-приложение, работающее в Службе приложений Azure

  • Статья
  • Чтение занимает 4 мин

Узнайте, как включить проверку подлинности в веб-приложении, работающем в Службе приложений Azure, и ограничить доступ для пользователей в организации.

В этом руководстве вы узнаете, как:

  • настроить проверку подлинности для веб-приложения;
  • Предоставьте доступ к веб-приложению только пользователям в организации, используя Azure Active Directory (Azure AD) в качестве поставщика удостоверений.

Автоматическая проверка подлинности, предоставляемая Службой приложений

Служба приложений обеспечивает встроенную поддержку проверки подлинности и авторизации, поэтому для входа пользователей в систему не придется писать код в веб-приложении. Необязательный модуль проверки подлинности и авторизации Службы приложений упрощает проверку подлинности и авторизацию для вашего приложения. Когда вы будете готовы к пользовательской проверке подлинности и авторизации, вы создадите эту архитектуру.

Преимущества проверки подлинности в службе приложений:

  • Легко включить и настроить с помощью портала Azure и параметров приложения.
  • Для кода приложения не нужны пакеты SDK, определенные языки или изменения.
  • Поддерживается несколько поставщиков удостоверений:
    • Azure AD
    • Учетная запись Майкрософт
    • Facebook
    • Google
    • Twitter

Если включен модуль проверки подлинности или авторизации, каждый входящий HTTP-запрос проходит через этот модуль до обработки кодом приложения. Дополнительные сведения см. в статье Проверка подлинности и авторизация в Службе приложений Azure.

Подключение к серверным службы в качестве приложения

Проверка подлинности пользователей может начинаться с проверки подлинности пользователя в службе приложений, как описано в предыдущем разделе.

Экран

Когда у службы приложений будет удостоверение, прошедшее проверку подлинности, системе необходимо будет подключиться к внутренним службам от имени приложения:

  • Используйте управляемое удостоверение. Если управляемое удостоверение недоступно, используйте Key Vault.

  • Удостоверению пользователя не нужно выполнять дальнейший поток. Дополнительные меры безопасности для доступа к внутренним службам обрабатываются с помощью удостоверения службы приложений.

1. Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

2. Создание и публикация веб-приложения в Службе приложений

Для работы с этим учебником потребуется развернуть веб-приложение в Службе приложений. Вы можете использовать существующее веб-приложение или создать и опубликовать веб-приложение в Службе приложений, выполнив инструкции из одного из кратких руководств:

При создании нового приложения или использовании существующего запишите следующие данные:

  • Имя веб-приложения.
  • Группа ресурсов, в которую развертывается веб-приложение.

Эти имена вам понадобятся при дальнейшей работе с этим учебником.

3. Настройка проверки подлинности и авторизации

Теперь, когда у вас есть веб-приложение, работающее в Службе приложений, включите проверку подлинности и авторизацию. В качестве поставщика удостоверений будет использоваться Azure AD. Дополнительные сведения см. в статье Настройка проверки подлинности Azure AD для приложения Службы приложений.

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт.

  2. В разделе Группы ресурсов найдите и выберите свою группу ресурсов. В разделе Обзор выберите страницу управления приложения.

    Снимок экрана, на котором показано, как выбрать страницу управления приложения.

  3. В меню слева в приложении выберите Проверка подлинности и щелкните Добавить поставщик удостоверений.

  4. На странице Добавление поставщика удостоверений выберите Майкрософт в качестве поставщика удостоверений для входа в удостоверения Майкрософт и Azure AD.

  5. В разделе Регистрация приложения>Тип регистрации приложения выберите Создание регистрации приложения.

  6. В разделе Регистрация приложения>Поддерживаемые типы учетных записей выберите Текущий клиент — один клиент.

  7. В разделе Параметры проверки подлинности службы приложений оставьте для параметра Проверка подлинности значение Требуется проверка подлинности, а для параметра Запросы без проверки подлинности — значение Перенаправление HTTP 302 Found: рекомендуется для веб-сайтов.

  8. В нижней части страницы Добавление поставщика удостоверений нажмите кнопку Добавить, чтобы включить проверку подлинности для веб-приложения.

    Снимок экрана: настройка проверки подлинности.

    Теперь у вас есть приложение, которое защищено функциями проверки подлинности и авторизации в Службе приложений.

    Примечание

    Чтобы разрешить доступ учетным записям от других клиентов, измените "URL-адрес издателя" на "https://login.microsoftonline.com/common/v2.0" путем изменения поставщика удостоверений в колонке "Проверка подлинности".

4. Проверка ограниченного доступа к веб-приложению

При включении модуля проверки подлинности и авторизации Службы приложений в клиенте Azure AD в предыдущем разделе была создана регистрация приложения. Регистрация приложения имеет то же отображаемое имя, что и веб-приложение.

  1. Чтобы проверить параметры, выберите в меню портала Azure Active Directory, а затем — Регистрация приложений.

  2. Выберите созданную регистрацию приложения.

  3. На странице обзора убедитесь, что для параметра Поддерживаемые типы учетных записей задано значение Только моя организация.

    Снимок экрана: проверка доступа.

  4. Чтобы убедиться, что для пользователей вашей организации ограничен доступ к приложению, запустите браузер в режиме инкогнито или частном режиме и перейдите по адресу https://<app-name>.azurewebsites.net.

  5. Вы должны быть перенаправлены на защищенную страницу входа. Это доказывает, что пользователи, которые не прошли проверку подлинности, не имеют доступа к сайту.

  6. Войдите в систему как пользователь организации, чтобы получить доступ к сайту. Вы также можете открыть новый браузер и попытаться войти с помощью личной учетной записи, чтобы убедиться, что у пользователей за пределами организации нет доступа.

5. Очистка ресурсов

Если вы выполнили все шаги из этого учебника, состоящего из нескольких частей, то уже создали службу приложений, план размещения службы приложений и учетную запись хранения в группе ресурсов. Вы также создали регистрацию приложения в Azure Active Directory. Если ресурсы и регистрация приложения больше не нужны, удалите их, чтобы за них не взималась плата.

В этом руководстве вы узнаете, как:

  • удалять ресурсы Azure, созданные при работе с этим учебником.

удаление группы ресурсов.

В меню портала Azure щелкните Группы ресурсов и выберите группу ресурсов, содержащую службу приложений и план службы приложений.

Щелкните Удалить группу ресурсов. Одновременно с группой ресурсов удаляются все содержащиеся в ней ресурсы.

Снимок экрана: удаление группы ресурсов.

Выполнение этой команды может занять несколько минут.

Удаление регистрации приложения

В меню портала выберите Azure Active Directory>Регистрация приложений. Затем выберите созданное вами приложение. Снимок экрана: выбор регистрации приложения.

В разделе общих сведений регистрации приложения выберите Удалить. Снимок экрана: удаление регистрации приложения.

Дальнейшие действия

В этом руководстве вы узнали, как:

  • настроить проверку подлинности для веб-приложения;
  • ограничить доступ к веб-приложению для пользователей в организации.

Доступ Службы приложения к хранилищу