Краткое руководство. Добавление проверки подлинности приложения в веб-приложение, работающее в службе приложение Azure

Примечание.

Начиная с 1 июня 2024 г. все созданные Служба приложений приложения будут иметь возможность создать уникальное имя узла по умолчанию с помощью соглашения <app-name>-<random-hash>.<region>.azurewebsites.netоб именовании. Существующие имена приложений останутся неизменными.

Пример: myapp-ds27dh7271aah175.westus-01.azurewebsites.net

Дополнительные сведения см. в разделе "Уникальное имя узла по умолчанию" для ресурса Служба приложений.

Узнайте, как включить проверку подлинности в веб-приложении, работающем в Службе приложений Azure, и ограничить доступ для пользователей в организации.

В этом руководстве описано следующее:

• настроить проверку подлинности для веб-приложения;
• Ограничение доступа к веб-приложению пользователям в организации с помощью Microsoft Entra в качестве поставщика удостоверений.

Автоматическая проверка подлинности, предоставляемая Службой приложений

Служба приложений обеспечивает встроенную поддержку проверки подлинности и авторизации, поэтому для входа пользователей в систему не придется писать код в веб-приложении. Необязательный модуль проверки подлинности и авторизации Службы приложений упрощает проверку подлинности и авторизацию для вашего приложения. Когда вы будете готовы к пользовательской проверке подлинности и авторизации, вы используете эту архитектуру.

Преимущества проверки подлинности в службе приложений:

• Легко включить и настроить с помощью портала Azure и параметров приложения.
• Для кода приложения не нужны пакеты SDK, определенные языки или изменения.
• Поддерживаются несколько поставщиков удостоверений:
  • Microsoft Entra
  • Учетная запись Майкрософт
  • Facebook
  • Google
  • X

Если включен модуль проверки подлинности или авторизации, каждый входящий HTTP-запрос проходит через этот модуль до обработки кодом приложения. Дополнительные сведения см. в статье Проверка подлинности и авторизация в Службе приложений Azure.

1. Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

2. Создание и публикация веб-приложения в Службе приложений

Для работы с этим учебником потребуется развернуть веб-приложение в Службе приложений. Вы можете использовать существующее веб-приложение или создать и опубликовать веб-приложение в Службе приложений, выполнив инструкции из одного из кратких руководств:

• ASP.NET Core
• Node.js
• Python
• Java

При создании нового приложения или использовании существующего запишите следующие данные:

• Имя веб-приложения.
• Группа ресурсов, в которую развертывается веб-приложение.

Эти имена вам понадобятся при дальнейшей работе с этим учебником.

3. Настройка проверки подлинности и авторизации

Теперь, когда у вас есть веб-приложение, работающее в Службе приложений, включите проверку подлинности и авторизацию. Microsoft Entra используется в качестве поставщика удостоверений. Дополнительные сведения см. в разделе "Настройка проверки подлинности Microsoft Entra" для приложения Служба приложений.

Конфигурация рабочей силы

1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт.

2. В разделе Группы ресурсов найдите и выберите свою группу ресурсов. В разделе Обзор выберите страницу управления приложения.

   

3. В меню слева приложения выберите "Проверка подлинности" и выберите " Добавить поставщика удостоверений".

4. На странице "Добавление поставщика удостоверений" выберите Корпорацию Майкрософт в качестве поставщика удостоверений для входа в удостоверения Майкрософт и Microsoft Entra.

5. Для типа клиента выберите конфигурацию рабочей силы (текущий клиент) для сотрудников и бизнес-гостей.

6. >Для типа регистрации приложения регистрации приложений выберите "Создать регистрацию приложения", чтобы создать новую регистрацию приложения в Microsoft Entra.

7. Введите отображаемое имя приложения. Пользователи приложения могут видеть отображаемое имя при использовании приложения, например во время входа.

8. Для типов поддерживаемых учетных записей регистрации>приложений выберите текущий клиент с одним клиентом, чтобы только пользователи в организации могли войти в веб-приложение.

9. В разделе "Дополнительные проверки" выберите:

   • Разрешить запросы только из этого приложения для требования клиентского приложения
   • Разрешить запросы от любого удостоверения для требования удостоверения
   • Разрешить запросы только от клиента издателя для требования клиента

10. В разделе параметров проверки подлинности Служба приложений задайте следующие параметры:

    • Требовать проверку подлинности для проверки подлинности
    • Http 302 Найдено перенаправление: рекомендуется для веб-сайтов для запросов, не прошедших проверку подлинности
    • Поле хранилища маркеров

11. В нижней части страницы "Добавление поставщика удостоверений" выберите "Добавить ", чтобы включить проверку подлинности для веб-приложения.

    

    Теперь у вас есть приложение, которое защищено функциями проверки подлинности и авторизации в Службе приложений.

    Примечание.

    Чтобы разрешить доступ учетным записям от других клиентов, измените "URL-адрес издателя" на "https://login.microsoftonline.com/common/v2.0" путем изменения поставщика удостоверений в колонке "Проверка подлинности".

Внешняя конфигурация

1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт.

2. В разделе Группы ресурсов найдите и выберите свою группу ресурсов. В разделе Обзор выберите страницу управления приложения.

   

3. В меню слева приложения выберите "Проверка подлинности" и выберите " Добавить поставщика удостоверений".

4. На странице "Добавление поставщика удостоверений" выберите Корпорацию Майкрософт в качестве поставщика удостоверений для входа в удостоверения Майкрософт и Microsoft Entra.

5. Для типа клиента выберите внешнюю конфигурацию для внешних пользователей.

6. Выберите "Создать регистрацию приложения" , чтобы создать новую регистрацию приложения.

7. Выберите существующий клиент для использования в раскрывающемся списке или нажмите кнопку "Создать" , чтобы создать новый внешний клиент.

   

8. (Необязательно) На странице "Создание клиента" добавьте имя клиента* и доменное имя. Выберите расположение и выберите "Проверить" и "Создать".

   

9. Выберите "Настроить", чтобы настроить внешнюю проверку подлинности.

10. В браузере откроется настройка проверки подлинности клиента. В разделе "Настройка входа" выберите "Создать" , чтобы создать интерфейс входа для внешних пользователей.

11. Введите имя потока пользователя.

12. В этом кратком руководстве выберите "Электронная почта и пароль ", который позволяет новым пользователям регистрироваться и входить с помощью адреса электронной почты в качестве имени входа и пароля в качестве их первого фактора учетных данных.

13. Чтобы создать поток пользователя, выберите Создать.

    

14. Нажмите кнопку "Рядом " для настройки фирменной символики.

15. Добавьте логотип компании, выберите цвет фона и выберите макет входа.

    

16. Выберите Далее. Если выбранный клиент уже имеет конфигурацию фирменной символики, необходимо подтвердить, что вы хотите переопределить ее.

17. Выберите "Настроить" на вкладке "Проверка", чтобы подтвердить обновление внешнего клиента.

18. Браузер возвращается на страницу "Добавление поставщика удостоверений".

19. В разделе "Дополнительные проверки" выберите:

    • Разрешить запросы только из этого приложения для требования клиентского приложения
    • Разрешить запросы от любого удостоверения для требования удостоверения
    • Разрешить запросы только от клиента издателя для требования клиента

20. В разделе параметров проверки подлинности Служба приложений задайте следующие параметры:

    • Требовать проверку подлинности для проверки подлинности
    • Http 302 Найдено перенаправление: рекомендуется для веб-сайтов для запросов, не прошедших проверку подлинности
    • Поле хранилища маркеров

21. В нижней части страницы "Добавление поставщика удостоверений" выберите "Добавить ", чтобы включить проверку подлинности для веб-приложения.

    

4. Проверка ограниченного доступа к веб-приложению

Если вы включили модуль проверки подлинности и авторизации Служба приложений в предыдущем разделе, регистрация приложения была создана в рабочей силе или внешнем клиенте. Регистрация приложения имеет отображаемое имя, созданное на предыдущем шаге.

1. Чтобы проверить параметры, войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений. Если вы выбрали внешнюю конфигурацию, используйте значок "Параметры" в верхнем меню, чтобы переключиться на внешний клиент с веб-приложением из меню подписок каталогов + . Если вы находитесь в правильном клиенте:

2. Перейдите к приложениям удостоверений>Регистрация приложений и выберите "Приложения>> Регистрация приложений в меню.

3. Выберите созданную регистрацию приложения.

4. На странице обзора убедитесь, что для параметра Поддерживаемые типы учетных записей задано значение Только моя организация.

5. Чтобы убедиться, что доступ к приложению ограничен пользователями в организации, перейдите к обзору веб-приложения и выберите ссылку на домен по умолчанию. Или запустите браузер в инкогнито или частном режиме и перейдите к https://<app-name>.azurewebsites.net (см . заметку сверху).

   

6. Вы должны быть перенаправлены на защищенную страницу входа. Это доказывает, что пользователи, которые не прошли проверку подлинности, не имеют доступа к сайту.

7. Войдите в систему как пользователь организации, чтобы получить доступ к сайту. Вы также можете открыть новый браузер и попытаться войти с помощью личной учетной записи, чтобы убедиться, что у пользователей за пределами организации нет доступа.

5. Очистка ресурсов

Если вы выполнили все действия, описанные в этом многопартийном руководстве, вы создали Служба приложений, Служба приложений план размещения и учетную запись хранения в группе ресурсов. Вы также создали регистрацию приложения в идентификаторе Microsoft Entra. Если вы выбрали внешнюю конфигурацию, возможно, вы создали новый внешний клиент. Если ресурсы и регистрация приложения больше не нужны, удалите их, чтобы за них не взималась плата.

В этом руководстве описано следующее:

• удалять ресурсы Azure, созданные при работе с этим учебником.

Удаление группы ресурсов

В портал Azure выберите группы ресурсов в меню портала и выберите группу ресурсов, содержащую Служба приложений и план Служба приложений.

Щелкните Удалить группу ресурсов. Одновременно с группой ресурсов удаляются все содержащиеся в ней ресурсы.

Выполнение этой команды может занять несколько минут.

Удаление регистрации приложения

В Центре администрирования Microsoft Entra выберите "Приложения> Регистрация приложений". Затем выберите созданное вами приложение.

В разделе общих сведений регистрации приложения выберите Удалить.

Удаление внешнего клиента

Если вы создали новый внешний клиент, его можно удалить. В Центре администрирования Microsoft Entra перейдите к статье "Обзор>удостоверений>", чтобы управлять клиентами.

Выберите клиент, который нужно удалить, и нажмите кнопку "Удалить".

Перед удалением клиента может потребоваться выполнить необходимые действия. Например, может потребоваться удалить все потоки пользователей и регистрации приложений в клиенте.

Если вы готовы удалить клиент, нажмите кнопку "Удалить".

Следующие шаги

Из этого руководства вы узнали, как:

• настроить проверку подлинности для веб-приложения;
• ограничить доступ к веб-приложению для пользователей в организации.

доступ к хранилищу Служба приложений