Поделиться через


Включение проверки подлинности и авторизации в Контейнерах приложений Azure с помощью пользовательского поставщика OpenID Connect

В этой статье содержатся сведения о том, как настроить Контейнеры приложений Azure так, чтобы они использовали пользовательский поставщик проверки подлинности, который соответствует спецификации OpenID Connect. OpenID Connect (OIDC) — это отраслевый стандарт, широко принятый многими поставщиками удостоверений (ПОСТАВЩИКИ удостоверений). Для настройки приложения таким образом, чтобы оно использовало соответствующий IDP, понимать особенности спецификации не обязательно.

Вы можете настроить приложение так, чтобы оно использовало один или несколько поставщиков OIDC. Каждому из них нужно присвоить уникальное буквенно-цифровое имя в конфигурации. Кроме того, целевым объектом перенаправления по умолчанию может быть только один из таких поставщиков.

Регистрация приложения в поставщике удостоверений

Поставщику необходимо зарегистрировать сведения о приложении. На одном из этапов потребуется указать универсальный код ресурса (URI) перенаправления. Этот URI перенаправления имеет форму <app-url>/.auth/login/<provider-name>/callback. Каждый поставщик удостоверений должен предоставить дополнительные инструкции по выполнению этих действий.

Примечание.

Для настройки некоторых поставщиков, а также указания того, как использовать предоставляемые ими значения, вам, возможно, придется выполнить дополнительные действия. Например, компания Apple предоставляет закрытый ключ, который нельзя использовать в качестве секрета клиента OIDC. Его необходимо применять для создания маркера JWT, который рассматривается как секрет, который вы задаете в конфигурации приложения (см. раздел "Создание секрета клиента" документации по входу с помощью Apple)

Необходимо собрать идентификатор клиента и секрет клиента для приложения.

Внимание

Секрет клиента — это критически важные учетные данные безопасности. Не сообщайте этот секрет никому и не раскрывайте его в клиентском приложении.

Кроме того, для поставщика требуются метаданные OpenID Connect. Эта информация часто предоставляется с помощью документа метаданных конфигурации, который является URL-адресом издателя поставщика, суффиксом /.well-known/openid-configuration. Обязательно соберите этот URL-адрес конфигурации.

Если не удается использовать документ метаданных конфигурации, необходимо собрать следующие значения отдельно:

Добавление сведений о поставщике в приложение

  1. Войдите на портал Azure и перейдите к своему приложению.

  2. В меню слева выберите пункт Проверка подлинности. Выберите Добавить поставщик удостоверений.

  3. Выберите OpenID Connect в раскрывающемся списке поставщиков удостоверений.

  4. Укажите уникальное буквенно-цифровое имя, выбранное ранее в качестве имени поставщика OpenID Connect.

  5. Если у вас есть URL-адрес документа метаданных от поставщика удостоверений, укажите это значение в поле URL-адрес метаданных. В противном случае выберите параметр Укажите конечные точки отдельно и добавьте все URL-адреса, полученные от поставщика удостоверений, в соответствующем поле.

  6. Укажите ранее полученные идентификатор клиента и секрет клиента в соответствующих полях.

  7. Укажите имя параметра приложения для секрета клиента. Секрет клиента хранится в качестве секрета в приложении контейнера.

  8. Нажмите кнопку Добавить, чтобы завершить настройку поставщика удостоверений.

Работа с пользователями, прошедшими проверку подлинности

Дополнительные сведения о работе с пользователями, прошедшими проверку подлинности, см. в указанных ниже руководствах.

Следующие шаги