快速入門：將應用程式驗證新增至在 Azure App 服務 上執行的 Web 應用程式

瞭解如何為在 Azure App 服務 上執行的 Web 應用程式啟用驗證，並限制對您組織中的使用者存取。

在本教學課程中，您會了解如何：

• 設定 Web 應用程式的驗證。
• 使用 Microsoft Entra 作為識別提供者，將 Web 應用程式的存取限制為組織中的使用者。

App Service 提供的自動驗證

App Service 提供內建的驗證和授權支援，因此您可以在 Web 應用程式中登入沒有程式代碼的使用者。 使用選用的 App Service 驗證/授權模組可簡化應用程式的驗證和授權。 當您準備好進行自定義驗證和授權時，會建置在此架構上。

App Service 驗證提供：

• 透過 Azure 入口網站和應用程式設定，輕鬆開啟和設定。
• 不需要 SDK、特定語言或應用程式程式代碼的變更。
• 支援數個識別提供者：
  • Microsoft Entra
  • Microsoft 帳戶
  • Facebook
  • Google
  • Twitter

啟用驗證/授權模組時，每個傳入 HTTP 要求都會通過它，再由您的應用程式程式代碼處理。若要深入瞭解，請參閱 Azure App 服務 中的驗證和授權。

1.Prerequisites

如果您沒有 Azure 訂閱，請在開始之前，先建立 Azure 免費帳戶。

2.在 App Service 上建立及發佈 Web 應用程式

在本教學課程中，您需要部署至 App Service 的 Web 應用程式。 您可以使用現有的 Web 應用程式，也可以遵循其中一個快速入門，建立新的 Web 應用程式並將其發布至 App Service：

• ASP.NET Core
• Node.js
• Python
• Java

無論您是使用現有的 Web 應用程式還是建立新的 Web 應用程式，請記下下列事項：

• Web 應用程式名稱。
• Web 應用程式部署至的資源群組 。

在本教學課程中，您需要這些名稱。

3.設定驗證和授權

現在您已在 App Service 上執行 Web 應用程式，請啟用驗證和授權。 您可以使用 Microsoft Entra 作為識別提供者。 如需詳細資訊，請參閱 設定 App Service 應用程式的 Microsoft Entra 驗證。

員工設定

1. 在 [Azure 入口網站] 功能表中，選取 [資源群組]，或搜尋並從任何頁面選取 [資源群組]。

2. 在 [資源群組] 中，尋找並選取您的資源群組。 在 [ 概觀] 中，選取應用程式的管理頁面。

   

3. 在應用程式的左側功能表上，選取 [ 驗證]，然後選取 [ 新增識別提供者]。

4. 在 [新增識別提供者] 頁面中，選取 [Microsoft] 作為 [識別提供者] 以登入 Microsoft 和 Microsoft Entra 身分識別。

5. 針對 [ 租使用者類型]，選取 [員工和商務來賓的員工設定][目前租 使用者]。

6. 針對 [ 應用程式註冊>應用程式註冊類型]，選取 [ 建立新的應用程式註冊 ] 以在 Microsoft Entra 中建立新的應用程式註冊。

7. 新增應用程式註冊的名稱，這是公開的顯示名稱。

8. 針對 [ 應用程式註冊>支持的帳戶類型]，選取 [目前租使用者單一租 使用者]，讓組織中只有使用者可以登入 Web 應用程式。

9. 在 [App Service 驗證設定] 區段中，將 [驗證] 設定為 [需要驗證] 並將 [未驗證的要求] 設定為 [HTTP 302 找到重新導向：建議用於網站]。

10. 在 [新增識別提供者] 頁面底部，選取 [新增] 以啟用 Web 應用程式的驗證。

    

    您現在有 App Service 驗證和授權所保護的應用程式。

    注意

    若要允許來自其他租使用者的帳戶，請從 [驗證] 刀鋒視窗中編輯您的 [識別提供者]，將 [簽發者 URL] 變更為https://login.microsoftonline.com/common/v2.0 ''。

外部組態

1. 在 [Azure 入口網站] 功能表中，選取 [資源群組]，或搜尋並從任何頁面選取 [資源群組]。

2. 在 [資源群組] 中，尋找並選取您的資源群組。 在 [ 概觀] 中，選取應用程式的管理頁面。

   

3. 在應用程式的左側功能表上，選取 [ 驗證]，然後選取 [ 新增識別提供者]。

4. 在 [新增識別提供者] 頁面中，選取 [Microsoft] 作為 [識別提供者] 以登入 Microsoft 和 Microsoft Entra 身分識別。

5. 針對 [ 租使用者類型]，選取 [外部使用者的外部 設定]。

6. 選取 [建立新的應用程式註冊 ] 以建立新的應用程式註冊，然後選取 您想要使用的客戶（外部）租使用者 。

7. 選取 [ 設定 ] 以設定外部驗證。

   

8. 瀏覽器會開啟 [ 設定客戶驗證]。 在 [設定登入] 中，選取 [新建]，為您的外部使用者建立登入體驗。

9. 輸入 使用者流程的 [名稱 ]。

10. 在本快速入門中，選取 [電子郵件和密碼 ]，可讓新使用者使用電子郵件地址作為登入名稱和密碼作為其第一個因素認證來註冊和登入。

11. 選取 [建立] 以建立使用者流程。

    

12. 選取 [ 下一步 ] 以自定義商標。

13. 新增您的公司標誌、選取背景色彩，然後選取登入配置。

    

14. 選取 [ 下一步 ] 和 [是]，更新變更 以接受商標變更。

15. 在 [檢閱] 索引標籤中選取 [設定]，以確認外部標識碼 （CIAM） 租使用者更新。

16. 瀏覽器會開啟 [新增識別提供者]。

17. 在 [ App Service 驗證設定 ] 區段中，選取：

    • 只允許來自此應用程式本身 的要求，以取得 用戶端應用程式需求
    • 允許來自任何身分識別 的要求以進行 身分識別需求
    • 僅允許租使用者需求之簽發者租使用者的要求

18. 在 [ App Service 驗證設定 ] 區段中，設定：

    • 需要驗證
    • HTTP 302 找到重新導向：建議用於未驗證要求的網站
    • 令牌存放區 方塊

19. 在 [新增識別提供者] 頁面底部，選取 [新增] 以啟用 Web 應用程式的驗證。

    

4.驗證對 Web 應用程式的有限存取

當您在上一節中啟用 App Service 驗證/授權模組時，會在您的員工或客戶（外部）租使用者中建立應用程式註冊。 應用程式註冊與 Web 應用程式具有相同的顯示名稱。

1. 若要檢查設定，請至少以應用程式開發人員身分登入 Microsoft Entra 系統管理中心。 如有必要，請使用頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至具有 Web 應用程式的客戶（外部） 租使用者。 當您位於正確的租使用者時：

2. 流覽至 [身分>識別應用程式> 應用程式註冊]，然後從功能表中選取 [應用程式> 應用程式註冊]。

3. 選取已建立的應用程式註冊。

4. 在概觀中，確認 [支持的帳戶類型 ] 設定為 [僅限我的組織]。

5. 若要確認應用程式的存取權僅限於您組織中的使用者，請移至您的 Web 應用程式 [概觀 ]，然後選取 [ 預設網域 ] 連結。 或者，在無痕模式或私人模式中啟動瀏覽器，然後移至 https://<app-name>.azurewebsites.net。

   

6. 您應該導向至安全的登入頁面，確認不允許未經驗證的使用者存取網站。

7. 以組織中的使用者身分登入，以取得網站的存取權。 您也可以啟動新的瀏覽器，並嘗試使用個人帳戶登入，以確認組織外部的用戶沒有存取權。

5.清除資源

如果您已完成此多部分教學課程中的所有步驟，您建立了應用程式服務、應用程式服務主控方案和資源群組中的記憶體帳戶。 您也會在 Microsoft Entra ID 中建立應用程式註冊。 不再需要時，請刪除這些資源和應用程式註冊，以免繼續產生費用。

在本教學課程中，您會了解如何：

• 刪除遵循教學課程時所建立的 Azure 資源。

刪除資源群組

在 Azure 入口網站 中，從入口網站功能表中選取 [資源群組]，然後選取包含您的應用程式服務和 App Service 方案的資源群組。

選取 [ 刪除資源群組 ] 以刪除資源群組和所有資源。

此命令可能需要幾分鐘的時間才能執行。

刪除應用程式註冊

在 Microsoft Entra 系統管理中心中，選取 [應用程式> 應用程式註冊]。 然後選取您建立的應用程式。

在應用程式註冊概觀中，選取 [ 刪除]。

下一步

在本教學課程中，您已了解如何：

• 設定 Web 應用程式的驗證。
• 限制對您組織中的使用者存取 Web 應用程式。

App Service 存取記憶體