Tutorial: Zuweisen von benutzerdefinierten Rollen mit einer Funktion und Microsoft Graph (Vorschau)
In diesem Artikel wird veranschaulicht, wie Sie mithilfe einer Funktion Microsoft Graph abfragen und Benutzenden basierend auf ihrer Entra ID-Gruppenmitgliedschaft benutzerdefinierte Rollen zuweisen.
In diesem Tutorial lernen Sie Folgendes:
- Bereitstellen einer statischen Web-App
- Erstellen einer Microsoft Entra-App-Registrierung.
- Richten Sie die benutzerdefinierte Authentifizierung mit Microsoft Entra ID ein.
- Konfigurieren Sie eine serverlose Funktion, mit der die Entra ID-Mitgliedschaft der Benutzenden abgefragt und eine Liste mit benutzerdefinierten Rollen zurückgegeben wird.
Hinweis
In diesem Tutorial müssen Sie eine Funktion zum Zuweisen von Rollen verwenden. Die funktionsbasierte Rollenverwaltung befindet sich derzeit in der Vorschauphase. Die erforderliche Berechtigungsstufe für dieses Tutorial ist „User.Read.All“.
Es gibt eine Funktion namens GetRoles in der API der App. Diese Funktion verwendet das Zugriffstoken der Benutzenden, um Entra ID aus Microsoft Graph abzufragen. Wenn der Benutzer Mitglied einer Gruppe ist, die in der App definiert ist, werden die entsprechenden benutzerdefinierten Rollen dem Benutzer zugeordnet.
Voraussetzungen
Anforderung | Kommentare |
---|---|
Aktives Azure-Konto | Falls Sie über keins verfügen, können Sie ein kostenloses Konto erstellen. |
Microsoft Entra-Berechtigungen | Sie müssen über ausreichende Berechtigungen für die Erstellung einer Microsoft Entra-Anwendung verfügen. |
Erstellen eines GitHub-Repositorys
Generieren Sie ein Repository basierend auf der Rollenfunktionsvorlage. Wechseln Sie zum folgenden Speicherort, um ein neues Repository zu erstellen.
Geben Sie Ihrem Repository den Namen my-custom-roles-app.
Wählen Sie Create repository from template (Repository aus Vorlage erstellen) aus.
Bereitstellen der statischen Web-App in Azure
Öffnen Sie auf einer neuen Registerkarte des Webbrowsers das Azure-Portal.
Wählen Sie in der linken oberen Ecke Ressource erstellen aus.
Geben Sie im Suchfeld den Suchbegriff statische Web-Apps (static web apps) ein.
Klicken Sie auf statische Web-Apps.
Klicken Sie auf Erstellen.
Konfigurieren Sie Ihre statische Web-App mit den folgenden Informationen:
Einstellung Wert Notizen Subscription Wählen Sie Ihr Azure-Abonnement. Resource group Erstellen Sie eine neue Gruppe mit dem Namen my-custom-roles-app-group. Name my-custom-roles-app Plantyp Standard Zum Anpassen der Authentifizierung und zum Zuweisen von Rollen mithilfe einer Funktion ist der Standard-Plan erforderlich. Region für die API Wählen Sie die Ihnen am nächsten gelegene Region aus. Im Abschnitt Bereitstellungsdetails:
Einstellung Wert `Source` Wählen Sie GitHub aus. Organization Wählen Sie die Organisation aus, in der Sie das Repository generiert haben. Repository Wählen Sie my-custom-roles-app aus. Verzweigung Wählen Sie main aus. Fügen Sie im Abschnitt Builddetails die Konfigurationsdetails für diese App hinzu.
Einstellung Wert Hinweise Buildvoreinstellungen Wählen Sie Benutzerdefiniert aus. App-Speicherort Geben Sie /frontend ein. Dieser Ordner enthält die Front-End-Anwendung. API-Speicherort /api Ordner im Repository, der die API-Funktionen enthält. Ausgabeverzeichnis Lassen Sie dieses Feld leer. Diese App hat keine Buildausgabe. Klicken Sie auf Überprüfen + erstellen.
Wählen Sie Erstellen aus, um die erste Bereitstellung zu initiieren.
Sobald der Vorgang abgeschlossen ist, wählen Sie Zu Ressource wechseln aus, um Ihre neue statische Web-App zu öffnen.
Suchen Sie im Abschnitt „Übersicht“ nach der URL Ihrer Anwendung. Kopieren Sie diesen Wert in einen Text-Editor, um ihn in den nächsten Schritten zum Einrichten der Entra-Authentifizierung zu verwenden.
Erstellen einer Microsoft Entra-Anwendung
Suchen Sie im Azure-Portal nach Microsoft Entra ID, und gehen Sie dahin.
Wählen Sie im Menü Verwalten die Option App-Registrierungen aus.
Wählen Sie Neue Registrierung aus, um das Fenster Anwendung registrieren zu öffnen. Geben Sie die folgenden Werte ein:
Einstellung Wert Notizen Name Geben Sie MyStaticWebApp ein. Unterstützte Kontotypen Wählen Sie Nur Konten in diesem Organisationsverzeichnis aus. Umleitungs-URI Wählen Sie Web aus, und geben Sie den Authentifizierungsrückruf-URL von Microsoft Entra für Ihre statische Web-App ein. Ersetzen Sie <YOUR_SITE_URL>
in<YOUR_SITE_URL>/.auth/login/aad/callback
durch die URL Ihrer statischen Web-App.Diese URL haben Sie in einem früheren Schritt in einen Text-Editor kopiert. Wählen Sie Registrieren.
Nachdem die App-Registrierung erstellt wurde, kopieren Sie im Abschnitt Zusammenfassung die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) in einen Text-Editor.
Sie benötigen diese Werte, um die Entra ID-Authentifizierung in Ihrer statischen Web-App zu konfigurieren.
Aktivieren von ID-Token
Wählen Sie in den App-Registrierungseinstellungen unter Verwalten die Option Authentifizierung aus.
Wählen Sie im Abschnitt Implizite Genehmigung und Hybridflows die Option ID-Token (werden für implizite und Hybridflows verwendet) aus.
Die Static Web Apps-Runtime erfordert diese Konfiguration, um Ihre Benutzer zu authentifizieren.
Wählen Sie Speichern aus.
Erstellen eines Clientgeheimnisses
Wählen Sie in den App-Registrierungseinstellungen die Option Zertifikate und Geheimnisse unter Verwalten aus.
Wählen Sie im Abschnitt Geheime Clientschlüssel die Option Neuer geheimer Clientschlüssel aus.
Geben Sie im Feld Beschreibung den Namen MyStaticWebApp ein.
Übernehmen Sie im Feld Läuft ab den Standardwert 6 Monate.
Hinweis
Sie müssen das Geheimnis vor dem Ablaufdatum rotieren, indem Sie ein neues Geheimnis generieren und Ihre App mit seinem Wert aktualisieren.
Wählen Sie Hinzufügen.
Kopieren Sie den Wert des geheimen Clientschlüssels, den Sie erstellt haben, in einen Text-Editor.
Sie benötigen diesen Wert, um die Entra ID-Authentifizierung in Ihrer statischen Web-App zu konfigurieren.
Konfigurieren der Entra ID-Authentifizierung
Öffnen Sie in einem Browser das GitHub-Repository, das die von Ihnen bereitgestellte statische Web-App enthält.
Wechseln Sie zur Konfigurationsdatei der App unter frontend/staticwebapp.config.json. Diese Datei enthält den folgenden Abschnitt:
"auth": { "rolesSource": "/api/GetRoles", "identityProviders": { "azureActiveDirectory": { "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", "registration": { "openIdIssuer": "https://login.microsoftonline.com/<YOUR_ENTRA_TENANT_ID>", "clientIdSettingName": "ENTRA_CLIENT_ID", "clientSecretSettingName": "ENTRA_CLIENT_SECRET" }, "login": { "loginParameters": [ "resource=https://graph.microsoft.com" ] } } } },
Diese Konfiguration besteht aus den folgenden Einstellungen:
Eigenschaften BESCHREIBUNG rolesSource
Die URL, unter der der Anmeldeprozess eine Liste der verfügbaren Rollen abruft. Für die Beispielanwendung lautet die URL /api/GetRoles
.userDetailsClaim
Die URL des Schemas, das zum Überprüfen der Anmeldeanforderung verwendet wird. openIdIssuer
Die Microsoft Entra-Anmelderoute, angefügt mit Ihrer Mandanten-ID. clientIdSettingName
Ihre Microsoft Entra-Client-ID. clientSecretSettingName
Ihr geheimer Clientschlüssel in Microsoft Entra. loginParameters
Wenn Sie ein Zugriffstoken für Microsoft Graph abrufen möchten, muss das Feld loginParameters
mitresource=https://graph.microsoft.com
konfiguriert sein.Wählen Sie Bearbeiten aus, um die Datei zu aktualisieren.
Aktualisieren Sie den Wert openIdIssuer von
https://login.microsoftonline.com/<YOUR_ENTRA_TENANT_ID>
, indem Sie<YOUR_ENTRA_TENANT_ID>
durch die Verzeichnis-ID (Mandant) Ihrer Microsoft Entra ID-Instanz ersetzen.Wählen Sie Änderungen committen aus.
Geben Sie eine Commitnachricht ein, und wählen Sie Änderungen committen aus.
Das Committen dieser Änderungen initiiert einen GitHub Actions-Lauf, um die statische Web-App zu aktualisieren.
Wechseln Sie im Azure-Portal zur Ressource Ihrer statischen Web-App.
Wählen Sie auf der Menüleiste die Option Konfiguration aus.
Fügen Sie im Abschnitt Anwendungseinstellungen die folgenden Einstellungen hinzu:
Name Wert ENTRA_CLIENT_ID
Ihre Entra ID-Anwendungs-ID (Client-ID) ENTRA_CLIENT_SECRET
Ihr geheimer Clientschlüssel der Entra-Anwendung Wählen Sie Speichern.
Erstellen von Rollen
Öffnen Sie Ihre Entra ID-App-Registrierung im Azure-Portal.
Wählen Sie unter Verwalten die Option Anwendungsrollen aus.
Wählen Sie App-Rolle erstellen aus, und geben Sie die folgenden Werte ein:
Einstellung Wert `Display name` Geben Sie admin ein. Zulässige Mitgliedstypen Wählen Sie Benutzer/Gruppen aus. Wert Geben Sie admin ein. Beschreibung Geben Sie Administrator ein. Aktivieren Sie das Kontrollkästchen für Möchten Sie diese App-Rolle aktivieren?.
Wählen Sie Übernehmen.
Wiederholen Sie nun denselben Prozess für eine Rolle namens reader (Leser).
Kopieren Sie die ID-Werte für jede Rolle, und legen Sie sie in einem Text-Editor ab.
Überprüfen benutzerdefinierter Rollen
Die Beispielanwendung enthält eine API-Funktion (api/GetRoles/index.js), die Microsoft Graph abfragt, um zu ermitteln, ob sich ein Benutzer in einer vordefinierten Gruppe befindet.
Basierend auf den Gruppenmitgliedschaften des Benutzers weist die Funktion dem Benutzer benutzerdefinierte Rollen zu. Die Anwendung ist so konfiguriert, dass bestimmte Routen basierend auf diesen benutzerdefinierten Rollen eingeschränkt werden.
Wechseln Sie in Ihrem GitHub-Repository unter api/GetRoles/index.js zur Funktion GetRoles.
Am oberen Rand befindet sich ein
roleGroupMappings
-Objekt, das Microsoft Entra-Gruppen benutzerdefinierte Benutzerrollen zuordnet.Wählen Sie Bearbeiten.
Aktualisieren Sie das Objekt mit Gruppen-IDs aus Ihrem Microsoft Entra-Mandanten.
Wenn Sie beispielsweise Gruppen mit den IDs
6b0b2fff-53e9-4cff-914f-dd97a13bfbd6
undb6059db5-9cef-4b27-9434-bb793aa31805
besitzen, würden Sie das Objekt wie folgt aktualisieren:const roleGroupMappings = { 'admin': '6b0b2fff-53e9-4cff-914f-dd97a13bfbd6', 'reader': 'b6059db5-9cef-4b27-9434-bb793aa31805' };
Die Funktion GetRoles wird immer dann aufgerufen, wenn ein Benutzer erfolgreich mit Microsoft Entra ID authentifiziert wurde. Die Funktion verwendet das Zugriffstoken der Benutzenden, um ihre Entra-Gruppenmitgliedschaft aus Microsoft Graph abzufragen. Wenn der Benutzer Mitglied einer Gruppe ist, die im
roleGroupMappings
-Objekt definiert ist, werden die entsprechenden benutzerdefinierten Rollen zurückgegeben.Wenn Benutzende Mitglied der Entra ID-Gruppe mit der ID
b6059db5-9cef-4b27-9434-bb793aa31805
sind, wird ihnen im obigen Beispiel die Rollereader
zugewiesen.Wählen Sie Änderungen committen aus.
Fügen Sie eine Commitnachricht hinzu, und wählen Sie Änderungen committen aus.
Wenn Sie diese Änderungen vornehmen, wird ein Build initiiert, um die statische Web-App zu aktualisieren.
Wenn die Bereitstellung abgeschlossen ist, können Sie Ihre Änderungen überprüfen, indem Sie zur URL der App navigieren.
Melden Sie sich mithilfe von Microsoft Entra ID bei Ihrer statischen Web-App an.
Wenn Sie angemeldet sind, zeigt die Beispiel-App eine Liste der Rollen an, die Ihnen basierend auf der Entra ID-Gruppenmitgliedschaft Ihrer Identität zugewiesen sind.
Abhängig von diesen Rollen ist der Zugriff auf einige Routen in der App zulässig oder unzulässig.
Hinweis
Einige Abfragen für Microsoft Graph geben mehrere Seiten von Daten zurück. Wenn mehr als eine Abfrageanforderung erforderlich ist, gibt Microsoft Graph eine @odata.nextLink
-Eigenschaft in der Antwort zurück, die eine URL zur nächsten Seite der Ergebnisse enthält. Weitere Informationen finden Sie unter Paging von Microsoft Graph-Daten in Ihrer App.
Bereinigen von Ressourcen
Löschen Sie die Ressourcengruppe, um die bereitgestellten Ressourcen zu bereinigen.
Wählen Sie im Azure-Portal im linken Menü die Option Ressourcengruppe aus.
Geben Sie den Namen der Ressourcengruppe in das Feld Nach Name filtern ein.
Wählen Sie den Namen der Ressourcengruppe aus, die Sie in diesem Tutorial verwendet haben.
Wählen Sie Ressourcengruppe löschen aus dem Menü ganz oben aus.