共用方式為


快速入門:將應用程式驗證新增至在 Azure App Service 上執行的 Web 應用程式

注意

從 2024 年 6 月 1 日起,所有新建立的 App Service 應用程式都可以選擇使用命名慣例 <app-name>-<random-hash>.<region>.azurewebsites.net 來產生唯一的預設主機名稱。 現有的應用程式名稱將保持不變。

範例: myapp-ds27dh7271aah175.westus-01.azurewebsites.net

如需詳細資料,請參閱 App Service 資源的唯一預設主機名稱

了解如何針對在 Azure App Service 上執行的 Web 應用程式啟用驗證,並限制存取組織中的使用者。

在本教學課程中,您會了解如何:

  • 設定 Web 應用程式的驗證。
  • 使用 Microsoft Entra 作為識別提供者,以將應用程式的存取權僅限於組織中的使用者。

App Service 提供的自動驗證

App Service 提供內建的驗證和授權支援,因此您在 Web 應用程式中完全無需寫入程式碼,即可登入使用者。 使用選用的 App Service 驗證/授權模組,可簡化應用程式的驗證和授權。 準備好進行自訂驗證和授權時,便會在此架構上建置。

App Service 驗證提供:

  • 輕鬆地透過 Azure 入口網站和應用程式設定來開啟和設定。
  • 不需要任何 SDK、特定程式語言或變更應用程式程式碼。
  • 支援數個識別提供者:
    • Microsoft Entra
    • Microsoft 帳戶
    • Facebook
    • Google
    • X

驗證/授權模組啟用時,每個連入的 HTTP 要求會先通過此模組,再由應用程式程式碼處理。​若要深入了解,請參閱 Azure App Service 中的驗證與授權

1.Prerequisites

如果您沒有 Azure 訂用帳戶,請在開始之前先建立 Azure 免費帳戶

2.在 App Service 上建立和發佈 Web 應用程式

在本教學課程中,您需要部署到 App Service 的 Web 應用程式。 您可以使用現有的 Web 應用程式,也可以遵循其中一個快速入門,以建立新的 Web 應用程式,並發佈至 App Service:

無論是要使用現有的 Web 應用程式或建立新的 Web 應用程式,請注意下列各項:

  • Web 應用程式名稱
  • Web 應用程式部署所在的資源群組

您在本教學課程中需要這些名稱。

3.設定驗證和授權

現在您已在 App Service 上執行 Web 應用程式,請啟用驗證和授權。 您使用 Microsoft Entra 作為識別提供者。 如需詳細資訊,請參閱為 App Service 應用程式設定 Microsoft Entra 驗證

  1. Azure 入口網站功能表中,選取 [資源群組],或從任何頁面搜尋並選取 [資源群組]

  2. 在 [資源群組] 中,尋找並選取資源群組。 在概觀中,選取應用程式的管理頁面。

    顯示選取應用程式管理頁面的螢幕擷取畫面。

  3. 在應用程式的左側功能表上,選取 [驗證],然後選取 [新增識別提供者]

  4. 在 [新增識別提供者] 頁面中,選取 [Microsoft] 作為 [識別提供者],以登入 Microsoft 和 Microsoft Entra 識別。

  5. 針對 [租用戶類型],針對員工和商務來賓選取 [員工設定 (目前租用戶)]

  6. 針對 [應用程式註冊] > [應用程式註冊類型],選取 [建立新的應用程式註冊],以在 Microsoft Entra 中建立新的應用程式註冊。

  7. 輸入應用程式的顯示 [名稱]。 當應用程式的使用者使用應用程式時 (例如在登入期間),可能會看到顯示名稱。

  8. 針對 [應用程式註冊] > [支援的帳戶類型],選取 [目前租用戶-單一租用戶],如此只有組織中的使用者才能登入 Web 應用程式。

  9. 在 [其他檢查] 區段中,選取:

    • [用戶端應用程式需求] 為 [僅允許來自此應用程式本身的要求]
    • [身分識別需求] 為 [允許來自任何身分識別的要求]
    • [租用戶需求] 為 [僅允許來自簽發者租用戶的要求]
  10. 在 [App Service 驗證設定] 區段中,設定:

    • [驗證] 為 [需要驗證]
    • [未驗證的要求] 為 [HTTP 302 找到重新導向: 針對網站建議]
    • [權杖存放區] 方塊
  11. 在 [新增識別提供者] 頁面底部,選取 [新增] 以啟用 Web 應用程式的驗證。

    顯示設定驗證的螢幕擷取畫面。

    您現在有一個由 App Service 驗證和授權所保護的應用程式。

    注意

    若要允許來自其他租用戶的帳戶,請從 [驗證] 刀鋒視窗中編輯您的 [識別提供者],將 [簽發者 URL] 變更為 'https://login.microsoftonline.com/common/v2.0'。

4.驗證 Web 應用程式的有限存取權

在上一節中啟用 App Service 驗證/授權模組時,系統會在您的員工或外部租用戶中建立應用程式註冊。 應用程式註冊具有您在上一個步驟中建立的顯示名稱。

  1. 若要檢查設定,請以至少應用程式開發人員的身分登入 Microsoft Entra 系統管理中心。 如果您選擇外部設定,請使用頂端功能表中的 [設定] 圖示來切換至您的 Web 應用程式的外部租用戶,從 [目錄] + [訂用帳戶] 功能表。 當您在正確的租用戶中:

  2. 瀏覽至 [身分識別] > [應用程式] > [應用程式註冊],然後從功能表中選取 [應用程式] > [應用程式註冊]

  3. 選取之前建立的應用程式註冊。

  4. 在概觀中,確認支援的帳戶類型已設定為僅限我的組織

  5. 若要驗證應用程式的存取權僅限於組織中的使用者,請移至您的 Web 應用程式的 [概觀],然後選取 [預設網域] 連結。 或者,在無痕模式或私人模式中啟動瀏覽器,然後移至 https://<app-name>.azurewebsites.net (請參閱上方的注意事項)。

    顯示驗證存取權的螢幕擷取畫面。

  6. 系統應該會將您導向至安全的登入頁面,目的是確認不允許未經驗證的使用者存取網站。

  7. 以組織中的使用者身分登入,取得網站的存取權。 您也可以啟動新的瀏覽器,並嘗試使用個人帳戶登入,以確認組織外部的使用者沒有存取權。

5.清除資源

如果您已完成此多部分教學課程中的所有步驟,就會在資源群組中建立應用程式服務、應用程式服務主控方案和儲存體帳戶。 您也會在 Microsoft Entra ID 中建立應用程式註冊。 如果您選擇外部組態,您可能已建立新的外部租用戶。 當不再需要這些資源和應用程式註冊時,請加以刪除,才不會繼續累積費用。

在本教學課程中,您會了解如何:

  • 刪除遵循教學課程時所建立的 Azure 資源。

刪除資源群組

Azure 入口網站中,從入口網站功能表選取 [資源群組],然後選取包含您應用程式服務和應用程式服務方案的資源群組。

選取 [刪除資源群組] 來刪除群組及所有資源。

顯示刪除資源群組的螢幕擷取畫面。

此命令可能需要幾分鐘的時間來執行。

刪除應用程式註冊

Microsoft Entra 系統管理中心中,選取 [應用程式] > [應用程式註冊]。 然後選取您建立的應用程式。 顯示選取應用程式註冊的螢幕擷取畫面。

在應用程式註冊概觀中,選取 [刪除]顯示刪除應用程式註冊的螢幕擷取畫面。

刪除外部租用戶

如果您已建立新的外部租用戶,則可以刪除。 在 Microsoft Entra 系統管理中心中,瀏覽至 [身分識別]> [概觀]>[管理租使用者]

選取您要刪除的租用戶,然後選取 [刪除]

您可能需要先完成必要的動作,才能刪除租用戶。 例如,您可能需要刪除租用戶中的所有使用者流程和應用程式註冊。

如果您已準備好刪除租用戶,請選取 [刪除]

下一步

在本教學課程中,您已了解如何:

  • 設定 Web 應用程式的驗證。
  • 限制對您組織中的使用者存取 Web 應用程式的權限。