快速入門:將應用程式驗證新增至在 Azure App Service 上執行的 Web 應用程式
注意
從 2024 年 6 月 1 日起,所有新建立的 App Service 應用程式都可以選擇使用命名慣例 <app-name>-<random-hash>.<region>.azurewebsites.net 來產生唯一的預設主機名稱。 現有的應用程式名稱將保持不變。
範例: myapp-ds27dh7271aah175.westus-01.azurewebsites.net
如需詳細資料,請參閱 App Service 資源的唯一預設主機名稱。
了解如何針對在 Azure App Service 上執行的 Web 應用程式啟用驗證,並限制存取組織中的使用者。
在本教學課程中,您會了解如何:
- 設定 Web 應用程式的驗證。
- 使用 Microsoft Entra 作為識別提供者,以將應用程式的存取權僅限於組織中的使用者。
App Service 提供的自動驗證
App Service 提供內建的驗證和授權支援,因此您在 Web 應用程式中完全無需寫入程式碼,即可登入使用者。 使用選用的 App Service 驗證/授權模組,可簡化應用程式的驗證和授權。 準備好進行自訂驗證和授權時,便會在此架構上建置。
App Service 驗證提供:
- 輕鬆地透過 Azure 入口網站和應用程式設定來開啟和設定。
- 不需要任何 SDK、特定程式語言或變更應用程式程式碼。
- 支援數個識別提供者:
- Microsoft Entra
- Microsoft 帳戶
驗證/授權模組啟用時,每個連入的 HTTP 要求會先通過此模組,再由應用程式程式碼處理。若要深入了解,請參閱 Azure App Service 中的驗證與授權。
1.Prerequisites
如果您沒有 Azure 訂用帳戶,請在開始之前先建立 Azure 免費帳戶。
2.在 App Service 上建立和發佈 Web 應用程式
在本教學課程中,您需要部署到 App Service 的 Web 應用程式。 您可以使用現有的 Web 應用程式,也可以遵循其中一個快速入門,以建立新的 Web 應用程式,並發佈至 App Service:
無論是要使用現有的 Web 應用程式或建立新的 Web 應用程式,請注意下列各項:
- Web 應用程式名稱。
- Web 應用程式部署所在的資源群組。
您在本教學課程中需要這些名稱。
3.設定驗證和授權
現在您已在 App Service 上執行 Web 應用程式,請啟用驗證和授權。 您使用 Microsoft Entra 作為識別提供者。 如需詳細資訊,請參閱為 App Service 應用程式設定 Microsoft Entra 驗證。
在 Azure 入口網站功能表中,選取 [資源群組],或從任何頁面搜尋並選取 [資源群組]。
在 [資源群組] 中,尋找並選取資源群組。 在概觀中,選取應用程式的管理頁面。
在應用程式的左側功能表上,選取 [驗證],然後選取 [新增識別提供者]。
在 [新增識別提供者] 頁面中,選取 [Microsoft] 作為 [識別提供者],以登入 Microsoft 和 Microsoft Entra 識別。
針對 [租用戶類型],針對員工和商務來賓選取 [員工設定 (目前租用戶)]。
針對 [應用程式註冊] > [應用程式註冊類型],選取 [建立新的應用程式註冊],以在 Microsoft Entra 中建立新的應用程式註冊。
輸入應用程式的顯示 [名稱]。 當應用程式的使用者使用應用程式時 (例如在登入期間),可能會看到顯示名稱。
針對 [應用程式註冊] > [支援的帳戶類型],選取 [目前租用戶-單一租用戶],如此只有組織中的使用者才能登入 Web 應用程式。
在 [其他檢查] 區段中,選取:
- [用戶端應用程式需求] 為 [僅允許來自此應用程式本身的要求]
- [身分識別需求] 為 [允許來自任何身分識別的要求]
- [租用戶需求] 為 [僅允許來自簽發者租用戶的要求]
在 [App Service 驗證設定] 區段中,設定:
- [驗證] 為 [需要驗證]
- [未驗證的要求] 為 [HTTP 302 找到重新導向: 針對網站建議]
- [權杖存放區] 方塊
在 [新增識別提供者] 頁面底部,選取 [新增] 以啟用 Web 應用程式的驗證。
您現在有一個由 App Service 驗證和授權所保護的應用程式。
注意
若要允許來自其他租用戶的帳戶,請從 [驗證] 刀鋒視窗中編輯您的 [識別提供者],將 [簽發者 URL] 變更為 'https://login.microsoftonline.com/common/v2.0'。
![顯示 [選取租用戶] 下拉式清單的螢幕擷取畫面。](media/scenario-secure-app-authentication-app-service/configure-authentication-external-select.png)
![[建立租用戶] 頁面的螢幕擷取畫面。](media/scenario-secure-app-authentication-app-service/configure-authentication-external-create-tenant.png)
![顯示 [其他檢查] 和 [驗證設定] 區段的螢幕擷取畫面。](media/scenario-secure-app-authentication-app-service/configure-authentication-external-enable.png)
4.驗證 Web 應用程式的有限存取權
在上一節中啟用 App Service 驗證/授權模組時,系統會在您的員工或外部租用戶中建立應用程式註冊。 應用程式註冊具有您在上一個步驟中建立的顯示名稱。
若要檢查設定,請以至少應用程式開發人員的身分登入 Microsoft Entra 系統管理中心。 如果您選擇外部設定,請使用頂端功能表中的 [設定] 圖示來切換至您的 Web 應用程式的外部租用戶,從 [目錄] + [訂用帳戶] 功能表。 當您在正確的租用戶中:
瀏覽至 [身分識別] > [應用程式] > [應用程式註冊],然後從功能表中選取 [應用程式] > [應用程式註冊]。
選取之前建立的應用程式註冊。
在概觀中,確認支援的帳戶類型已設定為僅限我的組織。
若要驗證應用程式的存取權僅限於組織中的使用者,請移至您的 Web 應用程式的 [概觀],然後選取 [預設網域] 連結。 或者,在無痕模式或私人模式中啟動瀏覽器,然後移至
https://<app-name>.azurewebsites.net(請參閱上方的注意事項)。
系統應該會將您導向至安全的登入頁面,目的是確認不允許未經驗證的使用者存取網站。
以組織中的使用者身分登入,取得網站的存取權。 您也可以啟動新的瀏覽器,並嘗試使用個人帳戶登入,以確認組織外部的使用者沒有存取權。
5.清除資源
如果您已完成此多部分教學課程中的所有步驟,就會在資源群組中建立應用程式服務、應用程式服務主控方案和儲存體帳戶。 您也會在 Microsoft Entra ID 中建立應用程式註冊。 如果您選擇外部組態,您可能已建立新的外部租用戶。 當不再需要這些資源和應用程式註冊時,請加以刪除,才不會繼續累積費用。
在本教學課程中,您會了解如何:
- 刪除遵循教學課程時所建立的 Azure 資源。
刪除資源群組
在 Azure 入口網站中,從入口網站功能表選取 [資源群組],然後選取包含您應用程式服務和應用程式服務方案的資源群組。
選取 [刪除資源群組] 來刪除群組及所有資源。
此命令可能需要幾分鐘的時間來執行。
刪除應用程式註冊
在 Microsoft Entra 系統管理中心中,選取 [應用程式] > [應用程式註冊]。 然後選取您建立的應用程式。
在應用程式註冊概觀中,選取 [刪除]。
刪除外部租用戶
如果您已建立新的外部租用戶,則可以刪除。 在 Microsoft Entra 系統管理中心中,瀏覽至 [身分識別]> [概觀]>[管理租使用者]。
選取您要刪除的租用戶,然後選取 [刪除]。
您可能需要先完成必要的動作,才能刪除租用戶。 例如,您可能需要刪除租用戶中的所有使用者流程和應用程式註冊。
如果您已準備好刪除租用戶,請選取 [刪除]。
下一步
在本教學課程中,您已了解如何:
- 設定 Web 應用程式的驗證。
- 限制對您組織中的使用者存取 Web 應用程式的權限。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應