Povolení ověřování a autorizace ve službě Azure Container Apps pomocí vlastního zprostředkovatele OpenID Connect

V tomto článku se dozvíte, jak nakonfigurovat Azure Container Apps tak, aby používala vlastního zprostředkovatele ověřování, který dodržuje specifikaci OpenID Connect. OpenID Connect (OIDC) je oborový standard široce přijímaný mnoha zprostředkovateli identity (IDPs). Abyste mohli aplikaci nakonfigurovat tak, aby používala odpovídající protokol IDP, nemusíte rozumět podrobnostem specifikace.

Aplikaci můžete nakonfigurovat tak, aby používala jednoho nebo více zprostředkovatelů OIDC. Každý z nich musí mít v konfiguraci jedinečný alfanumerický název a jako výchozí cíl přesměrování může sloužit jenom jeden.

Registrace aplikace u zprostředkovatele identity

Váš poskytovatel vyžaduje, abyste s ní zaregistrovali podrobnosti o vaší aplikaci. Jedním z těchto kroků je zadání identifikátoru URI přesměrování. Tento identifikátor URI přesměrování je ve formuláři <app-url>/.auth/login/<provider-name>/callback. Každý zprostředkovatel identity by měl poskytnout další pokyny k provedení těchto kroků.

Poznámka:

Někteří poskytovatelé můžou pro konfiguraci vyžadovat další kroky a způsob použití hodnot, které poskytují. Například Apple poskytuje privátní klíč, který se nepoužívá jako tajný klíč klienta OIDC, a místo toho ho musíte použít k vytvoření JWT, který je považován za tajný klíč, který zadáte v konfiguraci aplikace (viz část Vytvoření tajného klíče klienta v dokumentaci k Přihlášení pomocí Apple).

Potřebujete shromáždit ID klienta a tajný klíč klienta pro vaši aplikaci.

Důležité

Tajný klíč klienta je klíčové přihlašovací údaje zabezpečení. Tento tajný kód nesdílejte s nikým ani ho nedistribuujte v rámci klientské aplikace.

Kromě toho potřebujete metadata OpenID Connect pro zprostředkovatele. Tyto informace se často zveřejňují prostřednictvím dokumentu metadat konfigurace, což je přípona adresy URL vystavitele poskytovatele s příponou /.well-known/openid-configuration. Nezapomeňte shromáždit tuto adresu URL konfigurace.

Pokud nemůžete použít dokument metadat konfigurace, musíte shromáždit následující hodnoty zvlášť:

• Adresa URL vystavitele (někdy zobrazená jako issuer)
• Koncový bod autorizace OAuth 2.0 (někdy se zobrazuje jakoauthorization_endpoint)
• Koncový bod tokenu OAuth 2.0 (někdy se zobrazuje jakotoken_endpoint)
• Adresa URL dokumentu sady webových klíčů JSON OAuth 2.0 (někdy se zobrazuje jakojwks_uri)

Přidání informací o poskytovateli do aplikace

1. Přihlaste se k webu Azure Portal a přejděte do aplikace.

2. V nabídce vlevo vyberte Ověřování . Vyberte Přidat zprostředkovatele identity.

3. V rozevíracím seznamu zprostředkovatele identity vyberte OpenID Connect .

4. Zadejte jedinečný alfanumerický název vybraný dříve pro název zprostředkovatele OpenID.

5. Pokud máte adresu URL dokumentu metadat od zprostředkovatele identity, zadejte tuto hodnotu pro adresu URL metadat. V opačném případě vyberte možnost Zadat koncové body samostatně a vložte každou adresu URL shromážděnou od zprostředkovatele identity do příslušného pole.

6. Do příslušných polí zadejte dříve shromážděné ID klienta a tajný klíč klienta.

7. Zadejte název nastavení aplikace pro tajný klíč klienta. Tajný klíč klienta je uložený jako tajný kód v aplikaci kontejneru.

8. Stisknutím tlačítka Přidat dokončete nastavení zprostředkovatele identity.

Práce s ověřenými uživateli

Podrobnosti o práci s ověřenými uživateli najdete v následujících průvodcích.

• Přizpůsobení přihlášení a odhlášení
• Přístup k deklaracím identity uživatelů v kódu aplikace

Další kroky

Přehled ověřování a autorizace