Konfigurera din App Service- eller Azure Functions-app för att logga in med hjälp av en OpenID Connect-provider

• Microsoft Entra
• Facebook
• Google
• X
• OpenID Connect-provider
• Logga in med Apple (förhandsversion)

Den här artikeln visar hur du konfigurerar Azure App Service eller Azure Functions för att använda en anpassad autentiseringsprovider som följer OIDC-specifikationen (OpenID Connect). OIDC är en branschstandard som många identitetsprovidrar (IDP:er) använder. Du behöver inte förstå informationen i specifikationen för din app för att använda en OIDC-identitetsprovider.

Du kan konfigurera din app så att den använder en eller flera OIDC-leverantörer. Varje provider måste ha ett unikt alfanumeriskt namn i konfigurationen. Endast en provider kan fungera som standardomdirigeringsmål.

Registrera ditt program med identitetsprovidern

Din tjänsteleverantör kräver att du registrerar information om din ansökan hos dem. Ett av dessa steg omfattar att ange en omdirigerings-URI som har formuläret <app-url>/.auth/login/<provider-name>/callback. Varje identitetsprovider bör ge fler instruktioner om hur du utför stegen. Värdet <provider-name> syftar på det vänliga namn som du ger till OpenID-leverantörens namn i Azure.

Anmärkning

Vissa leverantörer kan kräva extra steg för konfigurationen och för att använda de värden som de tillhandahåller. Apple tillhandahåller till exempel en privat nyckel som inte används som OIDC-klienthemlighet. Du använder den för att skapa en JSON-webbtoken (JWT). Du använder webbtoken som den hemlighet som du anger i appkonfigurationen. Mer information finns i Skapa en klienthemlighet.

Du måste samla in ett klient-ID och en klienthemlighet för ditt program. Klienthemligheten är en viktig säkerhetsautentiseringsuppgift. Dela inte den här hemligheten med någon eller distribuera den i ett klientprogram.

Anmärkning

Du behöver bara ange en klienthemlighet för konfigurationen om du vill hämta åtkomsttoken för användaren via interaktivt inloggningsflöde med hjälp av auktoriseringskodflödet. Om detta inte är ditt fall krävs inte insamling av en hemlighet.

Du behöver även OIDC-metadata för providern. Dessa metadata exponeras ofta i ett dokument med konfigurationsmetadata, som är leverantörens utfärdarens URL som avslutas med /.well-known/openid-configuration. Hämta den här konfigurations-URL:en.

Om du inte kan använda ett dokument med konfigurationsmetadata hämtar du följande värden separat:

• Utfärdarens URL (visas ibland som issuer)
• OAuth 2.0-auktoriseringsslutpunkten (visas ibland som authorization_endpoint)
• OAuth 2.0-tokenslutpunkten (visas ibland som token_endpoint)
• URL:en för JSON-webbnyckeluppsättningsdokumentet för OAuth 2.0 (visas ibland som jwks_uri)

Lägg till leverantörsinformation i din ansökan

Följ dessa steg om du vill lägga till providerinformation för openID Connect-providern.

1. Logga in på Azure-portalen och gå till din app.

2. Välj Inställningar>Autentisering på den vänstra menyn. Välj sedan Lägg till identitetsprovider.

3. För Identitetsprovider väljer du OpenID Connect.

4. För OpenID-providerns namn anger du det unika alfanumeriska namn som du valde tidigare.

5. Om du har URL:en för metadatadokumentet från identitetsprovidern anger du det värdet för metadata-URL:en.

   Annars väljer du Ange slutpunkter separat. Placera varje URL från identitetsprovidern i lämpligt fält.

6. Ange de värden som du samlade in tidigare för klient-ID. Om klienthemligheten också samlades in anger du den som en del av konfigurationsprocessen.

7. Ange ett programinställningsnamn för klienthemligheten. Din klienthemlighet lagras som en appinställning för att säkerställa att hemligheter lagras på ett säkert sätt. Om du vill hantera hemligheten i Azure Key Vault uppdaterar du den inställningen senare för att använda Azure Key Vault-referenser.

8. Välj Lägg till för att slutföra konfigurationen av identitetsprovidern.

Anmärkning

Namnet på OpenID-providern får inte innehålla ett bindestreck (-) eftersom en appinställning skapas baserat på det här namnet. Appinställningen stöder inte bindestreck. Använd ett understreck (_) i stället.

Det kräver också att omfånget aud i din token är detsamma som klient-ID:t som konfigurerats ovan. Det går för närvarande inte att konfigurera de tillåtna målgrupperna för den här providern just nu.

Azure kräver openid, profileoch email omfång. Se till att du konfigurerar din appregistrering hos din ID-leverantör med minst dessa behörigheter.

Relaterat innehåll

• Autentisering och auktorisering i Azure App Service och Azure Functions
• Självstudie: Autentisera och auktorisera användare från slutpunkt till slutpunkt i Azure App Service