Konfigurera din App Service- eller Azure Functions-app för inloggning med en OpenID Connect-provider
Den här artikeln visar hur du konfigurerar Azure App Service eller Azure Functions att använda en anpassad autentiseringsprovider som följer OpenID Connect-specifikationen. OpenID Connect (OIDC) är en branschstandard som används av många identitetsprovidrar (IDP:er). Du behöver inte förstå informationen i specifikationen för att kunna konfigurera din app så att den använder en IDP för efterlevnad.
Du kan konfigurera din app så att den använder en eller flera OIDC-providrar. Var och en måste få ett unikt alfanumeriskt namn i konfigurationen, och endast ett kan fungera som standardomdirigeringsmål.
Registrera ditt program med identitetsprovidern
Leverantören kräver att du registrerar information om ditt program med den. Ett av de här stegen omfattar att ange en omdirigerings-URI. Den här omdirigerings-URI:n kommer att ha formatet <app-url>/.auth/login/<provider-name>/callback. Varje identitetsprovider bör ge fler instruktioner om hur du utför de här stegen. <provider-name> refererar till det egna namn som du ger till OpenID-providernamnet i Azure.
Anteckning
Vissa leverantörer kan kräva ytterligare steg för konfigurationen och hur de använder de värden som de tillhandahåller. Apple tillhandahåller till exempel en privat nyckel som inte används som OIDC-klienthemlighet, och du måste i stället använda den för att skapa en JWT som behandlas som den hemlighet som du anger i appkonfigurationen (se avsnittet "Skapa klienthemligheten" i dokumentationen logga in med Apple)
Du måste samla in ett klient-ID och en klienthemlighet för ditt program.
Viktigt
Klienthemligheten är en viktig säkerhetsautentiseringsuppgift. Dela inte den här hemligheten med någon eller distribuera den i ett klientprogram.
Dessutom behöver du OpenID Connect-metadata för providern. Detta exponeras ofta via ett dokument med konfigurationsmetadata, som är providerns Issuer URL-suffix med /.well-known/openid-configuration. Samla in den här konfigurations-URL:en.
Om du inte kan använda ett dokument med konfigurationsmetadata måste du samla in följande värden separat:
- Utfärdarens URL (visas ibland som
issuer) - OAuth 2.0-auktoriseringsslutpunkten (visas ibland som
authorization_endpoint) - OAuth 2.0-tokenslutpunkten (visas ibland som
token_endpoint) - URL:en för dokumentet OAuth 2.0 JSON Web Key Set (visas ibland som
jwks_uri)
Lägga till providerinformation i ditt program
- Logga in på [Azure Portal] och gå till din app.
- Välj Autentisering på menyn till vänster. Klicka på Lägg till identitetsprovider.
- Välj OpenID Connect i listrutan identitetsprovider.
- Ange det unika alfanumeriska namn som valts tidigare för OpenID-providerns namn.
- Om du har URL:en för metadatadokumentet från identitetsprovidern anger du det värdet för metadata-URL:en. Annars väljer du alternativet Ange slutpunkter separat och placerar varje URL som samlats in från identitetsprovidern i lämpligt fält.
- Ange det tidigare insamlade klient-ID :t och klienthemligheten i lämpliga fält.
- Ange ett programinställningsnamn för klienthemligheten. Klienthemligheten lagras som en appinställning för att säkerställa att hemligheter lagras på ett säkert sätt. Du kan uppdatera den inställningen senare för att använda Key Vault referenser om du vill hantera hemligheten i Azure Key Vault.
- Tryck på knappen Lägg till för att slutföra konfigurationen av identitetsprovidern.
Anteckning
OpenID-providernamnet får inte innehålla symboler som "-" eftersom en appsetting skapas baserat på detta och inte stöder det. Använd "_" i stället.
Anteckning
Azure kräver omfång för "openid", "profile" och "email". Kontrollera att du har konfigurerat appregistreringen i din ID-provider med minst dessa omfång.