Azure Static Web Apps 中的自訂驗證

Azure Static Web Apps 提供受控驗證，並使用由 Azure 管理的提供者註冊。 若要讓註冊更有彈性，您可以使用自訂註冊來覆寫預設值。

• 自訂驗證也可讓您設定支援 OpenID Connect 的自訂提供者。 此設定允許多個外部提供者註冊。

• 使用任何自訂註冊皆會停用所有預先設定的提供者。

注意

自訂驗證僅適用於 Azure Static Web Apps 標準方案。

設定自訂識別提供者

自訂識別提供者在設定檔的 auth 區段中進行設定。

為了避免將祕密放在原始程式碼控制中，設定會查看設定檔中名稱相符的應用程式設定。 您也可以選擇將祕密儲存在 Azure Key Vault。

Microsoft Entra ID

若要建立註冊，請先建立下列應用程式設定：

設定名稱	值
AZURE_CLIENT_ID	Microsoft Entra 應用程式註冊的應用程式 (用戶端) 識別碼。
`AZURE_CLIENT_SECRET_APP_SETTING_NAME	保留 Microsoft Entra 應用程式註冊用戶端密碼的應用程式設定名稱。

接下來，請使用下列範例在設定檔中設定提供者。

Microsoft Entra 提供者有兩個不同的版本。 第 1 版明確定義了 userDetailsClaim，讓承載可傳回使用者資訊。 相較之下，第 2 版根據預設會傳回使用者資訊，並在 openIdIssuer URL 中由 v2.0 指定。

Microsoft Entra 第 1 版

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

務必將 <TENANT_ID> 取代為您的 Microsoft Entra 租用戶識別碼。

Microsoft Entra 第 2 版

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

務必將 <TENANT_ID> 取代為您的 Microsoft Entra 租用戶識別碼。

如需如何設定 Microsoft Entra ID 的詳細資訊，請參閱使用現有註冊中的 App Service 驗證/授權文件。

若要設定哪些帳戶可以登入，請參閱修改應用程式支援的帳戶，並將 Microsoft Entra 應用程式限制為 Microsoft Entra 租用戶中的一組使用者。

注意

雖然 Microsoft Entra ID 的設定區段是 azureActiveDirectory，但平台會將其在 URL 中化名為 aad，用來登入、登出和清除使用者資訊。 請參閱驗證和與授權錯誤碼區段瞭解詳細資訊。

自訂憑證

使用下列步驟，將自訂憑證新增至您的 Microsoft Entra ID 應用程式註冊。

1. 如果尚未這麼做，請將您的憑證上傳至 Microsoft Key Vault。

2. 在您的靜態 Web 應用程式上新增受控識別。

   針對使用者指派的受控識別，請將靜態網站物件上的 keyVaultReferenceIdentity 屬性設定為使用者指派受控識別的 resourceId。

   如果您的受控識別為系統指派，請略過此步驟。

3. 授與受控識別下列存取原則：

   • 袐密：取得/列出
   • 憑證：取得/列出

4. 使用 clientSecretCertificateKeyVaultReference 值更新設定區段的 azureActiveDirectory 驗證設定區段，如下列範例所示：

   {
     "auth": {
       "rolesSource": "/api/GetRoles",
       "identityProviders": {
         "azureActiveDirectory": {
           "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
           "registration": {
             "openIdIssuer": "https://login.microsoftonline.com/common/v2.0",
             "clientIdSettingName": "AZURE_CLIENT_ID",
             "clientSecretCertificateKeyVaultReference": "@Microsoft.KeyVault(SecretUri=https://<KEY_VAULT_NAME>.azure.net/certificates/<CERTIFICATE_NAME>/<CERTIFICATE_VERSION_ID>)",
             "clientSecretCertificateThumbprint": "*"
           }
         }
       }
     }
   }
   

   請務必將您的值取代 <> 所圍繞的預留位置。

   在袐密 URI 中，指定金鑰保存庫名稱和憑證名稱。 如果您想要固定至某版本，請包含憑證版本，否則請省略版本以允許執行階段選取最新版本的憑證。

   將 clientSecretCertificateThumbprint 設定為等於 *，以一律提取最新版本的憑證指紋。

蘋果

若要建立註冊，請先建立下列應用程式設定：

設定名稱	值
APPLE_CLIENT_ID	Apple 用戶端識別碼。
APPLE_CLIENT_SECRET_APP_SETTING_NAME	保留 Apple 用戶端密碼的應用程式設定名稱。

接下來，請使用下列範例在設定檔中設定提供者。

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

針對如何將 Apple 設定為驗證提供者的詳細資訊，請參閱 App Service 驗證/授權文件。

Facebook

若要建立註冊，請先建立下列應用程式設定：

設定名稱	值
FACEBOOK_APP_ID	Facebook 應用程式識別碼。
FACEBOOK_APP_SECRET_APP_SETTING_NAME	保留 Facebook 應用程式祕密的應用程式設定名稱。

接下來，請使用下列範例在設定檔中設定提供者。

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

針對如何將 Facebook 設定為驗證提供者的詳細資訊，請參閱 App Service 驗證/授權文件。

GitHub

若要建立註冊，請先建立下列應用程式設定：

設定名稱	值
GITHUB_CLIENT_ID	GitHub 用戶端識別碼。
GITHUB_CLIENT_SECRET_APP_SETTING_NAME	保留 GitHub 用戶端密碼的應用程式設定名稱。

接下來，請使用下列範例在設定檔中設定提供者。

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

Google

若要建立註冊，請先建立下列應用程式設定：

設定名稱	值
GOOGLE_CLIENT_ID	Google 用戶端識別碼。
GOOGLE_CLIENT_SECRET_APP_SETTING_NAME	保留 Google 用戶端密碼的應用程式設定名稱。

接下來，請使用下列範例在設定檔中設定提供者。

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

針對如何將 Google 設定為驗證提供者的詳細資訊，請參閱 App Service 驗證/授權文件。

X

若要建立註冊，請先建立下列應用程式設定：

設定名稱	值
X_CONSUMER_KEY	X 取用者金鑰。
X_CONSUMER_SECRET_APP_SETTING_NAME	保存 X 取用者密碼的應用程式設定名稱。

接下來，請使用下列範例在設定檔中設定提供者。

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "X_CONSUMER_KEY",
          "consumerSecretSettingName": "X_CONSUMER_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

如需如何將 X 設定為驗證提供者的詳細資訊，請參閱 App Service 驗證/授權檔。

OpenID Connect

您可以設定 Azure Static Web Apps 應用程式，以使用遵循 OpenID Connect (OIDC) 規格的自訂驗證提供者。 使用自訂 OIDC 提供者需要下列步驟。

• 允許一個或多個 OIDC 提供者。
• 每個提供者在設定中都必須有唯一的名稱。
• 只有一個提供者可作為預設的重新導向目標。

向識別提供者註冊您的應用程式

您必須與識別提供者註冊應用程式的詳細資料。 請洽詢提供者，以瞭解為您的應用程式產生用戶端識別碼和用戶端密碼的必要步驟。

與識別提供者註冊應用程式之後，請在 Static Web App 的 [應用程式設定] 中建立下列應用程式祕密：

設定名稱	值
MY_PROVIDER_CLIENT_ID	由靜態 Web 應用程式的驗證提供者產生的用戶端識別碼。
MY_PROVIDER_CLIENT_SECRET_APP_SETTING_NAME	保留驗證提供者自訂註冊針對靜態 Web 應用程式所產生用戶端密碼的應用程式設定名稱。

如果您註冊其他提供者，每個提供者都需要應用程式設定中相關的用戶端識別碼和用戶端密碼存放區。

重要

應用程式祕密是敏感性安全認證。 請勿與任何人共用此祕密、在用戶端應用程式內散佈祕密，或簽入原始檔控制。

取得註冊認證之後，請使用下列步驟來建立自訂註冊。

1. 您需要提供者的 OpenID Connect 中繼資料。 此資訊通常會透過設定中繼資料文件公開，而提供者的簽發者 URL 以 /.well-known/openid-configuration 為字尾。 收集這個設定 URL。

2. 新增組態檔的 auth 區段，其中須包含 OIDC 提供者的組態區塊和您的提供者定義。

   {
     "auth": {
       "identityProviders": {
         "customOpenIdConnectProviders": {
           "myProvider": {
             "registration": {
               "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
               "clientCredential": {
                 "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET_APP_SETTING_NAME"
               },
               "openIdConnectConfiguration": {
                 "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
               }
             },
             "login": {
               "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
               "scopes": [],
               "loginParameterNames": []
             }
           }
         }
       }
     }
   }
   

• 在此範例中，提供者名稱 myProvider 是 Azure Static Web Apps 所使用的唯一識別碼。
• 請務必將 <PROVIDER_ISSUER_URL> 取代為提供者的簽發者 URL 路徑。
• login 物件可讓您為自訂範圍、登入參數或自訂宣告提供值。

驗證呼叫

識別提供者需要重新導向 URL 才能完成登入或登出要求。 大部分的提供者都需要您將呼叫 URL 新增至允許清單。 下列端點可作為重新導向的目的地。

類型	URL 模式
登入	https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback
Logout	https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback

如果您使用 Microsoft Entra ID，請使用 aad 作為 <PROVIDER_NAME_IN_CONFIG> 預留位置的值。

注意

這些 URL 由 Azure Static Web Apps 提供，接收來自驗證提供者的回應，您不需要在這些路由建立頁面。

登入、登出和使用者詳細資料

若要使用自訂識別提供者，請使用下列 URL 模式。

動作	模式
登入	/.auth/login/<PROVIDER_NAME_IN_CONFIG>
Logout	/.auth/logout
使用者詳細資料	/.auth/me
清除使用者詳細資料	/.auth/purge/<PROVIDER_NAME_IN_CONFIG>

如果您使用 Microsoft Entra ID，請使用 aad 作為 <PROVIDER_NAME_IN_CONFIG> 預留位置的值。

管理角色

每位存取靜態 Web 應用程式的使用者都屬於一或多個角色。 使用者可以屬於兩個內建角色：

• 匿名：所有使用者都會自動屬於匿名角色。
• 已驗證：登入的所有使用者都屬於 已驗證的角色。

除了內建角色，您還可以將自訂角色指派給使用者，並在 staticwebapp.config.json 檔案中加以參考。

邀請

將使用者新增至角色

若要將使用者新增至角色，您可以產生邀請，藉此將使用者與特定角色產生關聯。 角色會在 staticwebapp.config.json 檔案中定義及維護。

建立邀請

邀請專屬於個別的授權提供者，因此當您選取要支援的提供者時，請考慮您的應用程式需求。 有些提供者會公開使用者的電子郵件地址，而有些則只提供網站的使用者名稱。

授權提供者	公開
Microsoft Entra ID	電子郵件地址
GitHub	username
X	username

使用下列步驟來建立邀請。

1. 在 Azure 入口網站中移至 Static Web Apps 資源。
2. 在 [設定] 底下，選取 [角色管理]。
3. 選取 [邀請]。
4. 從選項清單中選取 [授權的提供者]。
5. 將收件者的使用者名稱或電子郵件地址新增至 [邀請詳細資料] 方塊中。
   • 針對 GitHub 和 X，輸入使用者名稱。 針對所有其他項目，輸入收件者的電子郵件地址。
6. 從 [網域] 下拉式功能表，選取您靜態網站的網域。
   • 您選取的網域是出現在邀請中的網域。 如果您有與網站相關聯的自訂網域，請選擇自訂網域。
7. 在 [角色] 方塊中，新增以逗號分隔的角色名稱清單。
8. 輸入您希望邀請保持有效的最長時數。
   • 可能的最大限制為 168 個小時，也就是 7 天。
9. 選取產生。
10. 從 [邀請連結] 方塊中複製連結。
11. 以電子郵件將邀請連結傳送給您要授與存取權的使用者。

當使用者選取邀請中的連結時，系統會提示他們使用其對應的帳戶登入。 成功登入之後，使用者會與選取的角色相關聯。

警告

請確定您的路由規則不會與選取的驗證提供者衝突。 使用路由規則封鎖提供者，會讓使用者無法接受邀請。

更新角色指派

1. 在 Azure 入口網站中移至 Static Web Apps 資源。
2. 在 [設定] 底下，選取 [角色管理]。
3. 在清單中選取使用者。
4. 編輯 [角色] 方塊中的角色清單。
5. 選取更新。

移除使用者

1. 在 Azure 入口網站中移至 Static Web Apps 資源。
2. 在 [設定] 底下，選取 [角色管理]。
3. 在清單中找出使用者。
4. 勾選使用者資料列的核取方塊。
5. 選取 [刪除]。

當您移除使用者時，請記住下列項目：

• 移除使用者會使其權限失效。
• 全球傳播可能需要幾分鐘的時間。
• 如果將使用者新增回應用程式，則 userId 會變更。

函數 (預覽)

您可以使用無伺服器函數，在使用者登入時以程式設計方式將角色指派給使用者，而不使用內建邀請系統。

若要在函數中指派自訂角色，您可以定義一個 API 函數，每當使用者成功向識別提供者進行驗證後，該函數就會自動呼叫。 函數會從提供者傳遞使用者的資訊。 其必須傳回已指派給使用者的自訂角色清單。

此函數的範例用法包括：

• 查詢資料庫來判斷應指派給使用者的角色
• 呼叫 Microsoft Graph API，根據使用者的 Active Directory 群組成員資格來判斷其角色
• 根據識別提供者傳回的宣告來判斷使用者的角色

注意

如果想透過函數來指派角色，您必須先設定自訂驗證。

啟用此功能時，透過內建邀請系統所指派的任何角色會遭到忽略。

設定函數以指派角色

若要將 Static Web Apps 設定為使用 API 函數作為角色指派函數，請將 rolesSource 屬性新增至應用程式設定檔的 auth 區段。 rolesSource 屬性的值是 API 函數的路徑。

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

注意

設定之後，外部 HTTP 要求就無法再存取角色指派函數。

建立函數以指派角色

在應用程式設定中定義 rolesSource 屬性之後，請在您的靜態 Web 應用程式中將 API 函數新增在指定路徑。 您可以使用受控函數應用程式或自備函數應用程式。

每當使用者成功向識別提供者進行驗證，POST 方法都會呼叫指定的函數。 函數會在要求本文中傳遞 JSON 物件，其中包含來自提供者的使用者資訊。 針對某些識別提供者，使用者資訊也包含 accessToken，該函數可採用使用者的身分識別進行 API 呼叫。

請參閱來自 Microsoft Entra ID 的下列範例承載：

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

函數可以採用使用者的資訊，來判斷要將何種角色指派給使用者。 其必須傳回具有 JSON 主體的 HTTP 200 回應，其中包含要指派給使用者的自訂角色名稱清單。

例如，若要將使用者指派給 Reader 和 Contributor 角色，則會傳回下列回應：

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

如果您不想將任何其他角色指派給使用者，請傳回空白的 roles 陣列。

若要深入了解，請參閱教學課程：使用函數和 Microsoft Graph 指派自訂角色。

下一步

以程式設計方式設定使用者角色