Hanterade identiteter för Azure Web PubSub Service
Den här artikeln visar hur du skapar en hanterad identitet för Azure Web PubSub Service och hur du använder den.
Viktigt!
Azure Web PubSub Service har endast stöd för en hanterad identitet. Det innebär att du kan lägga till antingen en systemtilldelad identitet eller en användartilldelad identitet.
Lägga till en systemtilldelad identitet
Om du vill konfigurera en hanterad identitet i Azure-portalen skapar du först en Azure Web PubSub Service-instans och aktiverar sedan funktionen.
Skapa en Azure Web PubSub Service-instans i portalen som vanligt. Bläddra till den i portalen.
Välj Identitet.
På fliken Systemtilldelat växlar du Status till På. Välj Spara.
Lägga till en användartilldelad identitet
Om du skapar en Azure Web PubSub Service-instans med en användartilldelad identitet måste du skapa identiteten och sedan lägga till dess resursidentifierare i din tjänst.
Skapa en användartilldelad hanterad identitetsresurs enligt dessa instruktioner.
Skapa en Azure Web PubSub Service-instans i portalen som vanligt. Bläddra till den i portalen.
Välj Identitet.
På fliken Användartilldelade väljer du Lägg till.
Sök efter den identitet som du skapade tidigare och välj den. Markera Lägga till.
Använda en hanterad identitet i klienthändelsescenarier
Azure Web PubSub Service är en fullständigt hanterad tjänst, så du kan inte använda en hanterad identitet för att hämta token manuellt. När Azure Web PubSub Service i stället skickar händelser till händelsehanteraren använder den hanterade identiteten för att hämta en åtkomsttoken. Tjänsten anger sedan åtkomsttoken i Authorization
huvudet i http-begäran.
Aktivera hanterad identitetsautentisering i händelsehanterarinställningar
Lägg till en systemtilldelad identitet eller användartilldelad identitet.
Gå till Konfigurera hubbinställningar och lägg till eller redigera en händelsehanterare uppströms.
I avsnittet Autentisering väljer du Använd autentisering och markerar Ange den utfärdade tokenpubliken. Målgruppen blir anspråket
aud
i den erhållna åtkomsttoken, som kan användas som en del av valideringen i händelsehanteraren. Du kan välja något av följande:- Välj bland befintliga Microsoft Entra-program. Program-ID:t för den du väljer används.
- Program-ID-URI:n för tjänstens huvudnamn.
Viktigt!
Om du använder en tom resurs hämtas faktiskt ett tokenmål till Microsoft Graph. Precis som i dag aktiverar Microsoft Graph tokenkryptering så att det inte är tillgängligt för program att autentisera den andra token än Microsoft Graph. I vanliga fall bör du alltid skapa ett huvudnamn för tjänsten för att representera ditt överordnade mål. Ange program-ID eller program-ID-URI för tjänstens huvudnamn som du har skapat.
Autentisering i en funktionsapp
Du kan enkelt ange åtkomstverifiering för en funktionsapp utan kodändringar med hjälp av Azure-portalen:
Gå till funktionsappen i Azure-portalen.
Markera Autentisering på kommandomenyn.
Välj Lägg till identitetsprovider.
På fliken Grundläggande väljer du Microsoft i listrutan Identitetsprovider.
I Åtgärd att vidta när begäran inte har autentiserats väljer du Logga in med Microsoft Entra-ID.
Alternativet för att skapa en ny registrering är valt som standard. Du kan ändra namnet på registreringen. Mer information om hur du aktiverar en Microsoft Entra-provider finns i Konfigurera din App Service- eller Azure Functions-app för att använda en Microsoft Entra-ID-inloggning.
Gå till din Web PubSub-tjänst och följ stegen för att lägga till en systemtilldelad identitet eller användartilldelad identitet.
På fliken Inställningar för Web PubSub-tjänsten redigerar du hubbinställningarna, redigerar inställningarna för händelsehanteraren. I avsnittet Autentisering väljer du Använd hanterad identitet och Välj från befintliga program. Välj det program som du skapade tidigare.
När du har konfigurerat de här inställningarna avvisar funktionsappen begäranden utan en åtkomsttoken i huvudet.
Verifiera åtkomsttoken
Om du inte använder WebApp eller Azure Function kan du även verifiera token.
Token i Authorization
huvudet är en Microsoft platforma za identitete åtkomsttoken.
För att verifiera åtkomsttoken bör appen även verifiera målgruppen och signeringstoken. Dessa måste verifieras mot värdena i OpenID-identifieringsdokumentet. Se till exempel den klientoberoende versionen av dokumentet.
Microsoft Entra-mellanprogrammet har inbyggda funktioner för validering av åtkomsttoken. Du kan bläddra igenom våra exempel för att hitta ett på valfritt språk.
Vi tillhandahåller bibliotek och kodexempel som visar hur du hanterar tokenverifiering. Det finns också flera partnerbibliotek med öppen källkod som är tillgängliga för JSON Web Token-validering (JWT). Det finns minst ett alternativ för nästan alla plattformar och språk där ute. Mer information om Microsoft Entra-auktoriseringsbibliotek och kodexempel finns i Microsoft platforma za identitete autentiseringsbibliotek.
Om händelsehanteraren är värd i Azure Function eller Web Apps är ett enkelt sätt att konfigurera Microsoft Entra-inloggning.
Använda en hanterad identitet för Key Vault-referens
Web PubSub Service kan komma åt Key Vault för att få hemlighet med hjälp av den hanterade identiteten.
Lägg till en systemtilldelad identitet eller användartilldelad identitet för Azure Web PubSub Service.
Bevilja hemlig läsbehörighet för den hanterade identiteten i åtkomstprinciperna i Key Vault. Se Tilldela en Key Vault-åtkomstprincip med hjälp av Azure-portalen
För närvarande kan den här funktionen användas i följande scenarier:
- Använd syntax för
{@Microsoft.KeyVault(SecretUri=<secret-identity>)}
att hämta hemligheter från KeyVault i inställningen för händelsehanterarens URL-mall.