快速入門:將應用程式驗證新增至在 Azure App 服務 上執行的 Web 應用程式
瞭解如何為在 Azure App 服務 上執行的 Web 應用程式啟用驗證,並限制對您組織中的使用者存取。
在本教學課程中,您會了解如何:
- 設定 Web 應用程式的驗證。
- 使用 Microsoft Entra 作為識別提供者,將 Web 應用程式的存取限制為組織中的使用者。
App Service 提供的自動驗證
App Service 提供內建的驗證和授權支援,因此您可以在 Web 應用程式中登入沒有程式代碼的使用者。 使用選用的 App Service 驗證/授權模組可簡化應用程式的驗證和授權。 當您準備好進行自定義驗證和授權時,會建置在此架構上。
App Service 驗證提供:
- 透過 Azure 入口網站和應用程式設定,輕鬆開啟和設定。
- 不需要 SDK、特定語言或應用程式程式代碼的變更。
- 支援數個識別提供者:
- Microsoft Entra
- Microsoft 帳戶
啟用驗證/授權模組時,每個傳入 HTTP 要求都會通過它,再由您的應用程式程式代碼處理。若要深入瞭解,請參閱 Azure App 服務 中的驗證和授權。
1.Prerequisites
如果您沒有 Azure 訂閱,請在開始之前,先建立 Azure 免費帳戶。
2.在 App Service 上建立及發佈 Web 應用程式
在本教學課程中,您需要部署至 App Service 的 Web 應用程式。 您可以使用現有的 Web 應用程式,也可以遵循其中一個快速入門,建立新的 Web 應用程式並將其發布至 App Service:
無論您是使用現有的 Web 應用程式還是建立新的 Web 應用程式,請記下下列事項:
- Web 應用程式名稱。
- Web 應用程式部署至的資源群組 。
在本教學課程中,您需要這些名稱。
3.設定驗證和授權
現在您已在 App Service 上執行 Web 應用程式,請啟用驗證和授權。 您可以使用 Microsoft Entra 作為識別提供者。 如需詳細資訊,請參閱 設定 App Service 應用程式的 Microsoft Entra 驗證。
在 [Azure 入口網站] 功能表中,選取 [資源群組],或搜尋並從任何頁面選取 [資源群組]。
在 [資源群組] 中,尋找並選取您的資源群組。 在 [ 概觀] 中,選取應用程式的管理頁面。
在應用程式的左側功能表上,選取 [ 驗證],然後選取 [ 新增識別提供者]。
在 [新增識別提供者] 頁面中,選取 [Microsoft] 作為 [識別提供者] 以登入 Microsoft 和 Microsoft Entra 身分識別。
針對 [ 租使用者類型],選取 [員工和商務來賓的員工設定][目前租 使用者]。
針對 [ 應用程式註冊>應用程式註冊類型],選取 [ 建立新的應用程式註冊 ] 以在 Microsoft Entra 中建立新的應用程式註冊。
新增應用程式註冊的名稱,這是公開的顯示名稱。
針對 [ 應用程式註冊>支持的帳戶類型],選取 [目前租使用者單一租 使用者],讓組織中只有使用者可以登入 Web 應用程式。
在 [App Service 驗證設定] 區段中,將 [驗證] 設定為 [需要驗證] 並將 [未驗證的要求] 設定為 [HTTP 302 找到重新導向:建議用於網站]。
在 [新增識別提供者] 頁面底部,選取 [新增] 以啟用 Web 應用程式的驗證。
您現在有 App Service 驗證和授權所保護的應用程式。
注意
若要允許來自其他租使用者的帳戶,請從 [驗證] 刀鋒視窗中編輯您的 [識別提供者],將 [簽發者 URL] 變更為https://login.microsoftonline.com/common/v2.0 ''。
4.驗證對 Web 應用程式的有限存取
當您在上一節中啟用 App Service 驗證/授權模組時,會在您的員工或客戶(外部)租使用者中建立應用程式註冊。 應用程式註冊與 Web 應用程式具有相同的顯示名稱。
若要檢查設定,請至少以應用程式開發人員身分登入 Microsoft Entra 系統管理中心。 如有必要,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至具有 Web 應用程式的客戶(外部) 租使用者。 當您位於正確的租使用者時:
流覽至 [身分>識別應用程式> 應用程式註冊],然後從功能表中選取 [應用程式> 應用程式註冊]。
選取已建立的應用程式註冊。
在概觀中,確認 [支持的帳戶類型 ] 設定為 [僅限我的組織]。
若要確認應用程式的存取權僅限於您組織中的使用者,請移至您的 Web 應用程式 [概觀 ],然後選取 [ 預設網域 ] 連結。 或者,在無痕模式或私人模式中啟動瀏覽器,然後移至
https://<app-name>.azurewebsites.net
。您應該導向至安全的登入頁面,確認不允許未經驗證的使用者存取網站。
以組織中的使用者身分登入,以取得網站的存取權。 您也可以啟動新的瀏覽器,並嘗試使用個人帳戶登入,以確認組織外部的用戶沒有存取權。
5.清除資源
如果您已完成此多部分教學課程中的所有步驟,您建立了應用程式服務、應用程式服務主控方案和資源群組中的記憶體帳戶。 您也會在 Microsoft Entra ID 中建立應用程式註冊。 不再需要時,請刪除這些資源和應用程式註冊,以免繼續產生費用。
在本教學課程中,您會了解如何:
- 刪除遵循教學課程時所建立的 Azure 資源。
刪除資源群組
在 Azure 入口網站 中,從入口網站功能表中選取 [資源群組],然後選取包含您的應用程式服務和 App Service 方案的資源群組。
選取 [ 刪除資源群組 ] 以刪除資源群組和所有資源。
此命令可能需要幾分鐘的時間才能執行。
刪除應用程式註冊
在 Microsoft Entra 系統管理中心中,選取 [應用程式> 應用程式註冊]。 然後選取您建立的應用程式。
在應用程式註冊概觀中,選取 [ 刪除]。
下一步
在本教學課程中,您已了解如何:
- 設定 Web 應用程式的驗證。
- 限制對您組織中的使用者存取 Web 應用程式。