你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息。
在此示例教程中,了解如何使用基于标头的身份验证将旧应用程序迁移到 具有 Grit 应用代理的 Azure Active Directory B2C(Azure AD B2C)。
使用 Grit 的应用代理的好处如下:
没有应用程序代码更改和简单的部署,从而加快 ROI
使用户能够使用多重身份验证、生物识别和无密码等新式身份验证体验,从而提高安全性。
大幅节省旧版身份验证解决方案的许可证费用
先决条件
若要开始,需要:
许可使用 Grit 的应用代理。 请联系 Grit 支持 部门获取许可证详细信息。 在本教程中,不需要许可证。
一份 Azure 订阅。 如果没有帐户,请获取 免费帐户。
已链接到 Azure 订阅的 Azure AD B2C 租户。
方案说明
Grit 集成包括以下组件:
Azure AD B2C:用于验证用户凭据的授权服务器 - 经过身份验证的用户使用存储在 Azure AD B2C 目录中的本地帐户访问本地应用程序。
格里特应用代理:通过 HTTP 标头将标识传递给应用程序的服务。
Web 应用程序:用户请求访问的旧应用程序。
以下体系结构关系图显示了实现。
用户请求访问本地应用程序。
Grit 应用代理通过 Azure Web 应用程序防火墙(WAF) 接收请求,并将其发送到应用程序。
格里特应用代理会检查用户身份验证状态。 如果没有会话令牌或无效令牌,用户将转到 Azure AD B2C 进行身份验证。
Azure AD B2C 将用户请求发送到 Azure AD B2C 租户中的 Grit 应用代理注册期间指定的终结点。
Grit 应用代理评估访问策略,并计算转发到应用程序的 HTTP 标头中的属性值。 Grit 应用代理设置标头值,并将请求发送到应用程序。
对用户进行身份验证并授予/拒绝其对应用程序的访问权限。
使用 Grit 应用代理加入
有关加入的详细信息,请联系 Grit 支持人员。
使用 Azure AD B2C 配置 Grit 的应用代理解决方案
在本教程中,Grit 已有后端应用程序和 Azure AD B2C 策略。 本教程介绍如何配置代理以访问后端应用程序。
可以使用 UX 配置后端应用程序的每个页面以确保安全性。 可以配置每个页面所需的身份验证类型和所需的标头值。
如果需要根据组成员身份或其他条件拒绝用户访问某些页面,则由身份验证用户流程来处理。
显示下拉列表后,选择下拉列表,然后选择“ 新建”。
输入仅包含字母和数字的页面的名称。
在 B2C 策略框中输入 B2C_1A_SIGNUP_SIGNIN 。
在 HTTP 方法中选择 GET 。
在终结点字段中输入“”,https://anj-grit-legacy-backend.azurewebsites.net/Home/Page这将是旧应用程序的终结点。
注释
此演示公开发布,输入的值对公共可见。 请勿使用此演示配置安全应用程序。
选择 “添加标题”。
在目标标头字段中输入 x-iss ,以配置必须发送到应用程序的有效 HTTP 标头。
在“值”字段中输入 given_name,即 B2C 策略中某个声明的名称。 该声明的值将传递到标头中。
选择 “令牌 ”作为源。
选择 “保存设置”。
选择弹出窗口中的链接。 这会将你带到登录页面。 选择注册链接并输入所需的信息。 完成注册过程后,将重定向到旧版应用程序。 应用程序在注册期间显示在 “给定名称 ”字段中提供的名称。
测试流
导航到本地应用程序 URL。
Grit 应用代理将重定向到你在用户流中配置的页面。 从列表中选择 IdP。
在提示符下,输入您的登录信息。 必要时包括 Microsoft Entra 多重身份验证令牌。
重定向到 Azure AD B2C,后者将应用程序请求转发到 Grit 的应用代理重定向 URI。
Grit 的应用代理评估策略、计算标头并将用户发送到上游应用程序。
此时将显示请求的应用程序。