Compartir vía


Habilitar la autenticación y autorización en Azure Container Apps con Microsoft Entra ID

En este artículo se muestra cómo configurar la autenticación para Azure Container Apps para que la aplicación inicie sesión de los usuarios con la Plataforma de identidad de Microsoft como proveedor de autenticación.

La característica de autenticación de Container Apps puede crear automáticamente un registro de aplicaciones con la plataforma de identidad de Microsoft. También es posible usar un registro que el usuario o un administrador de directorios cree por separado.

Opción 1: creación de un nuevo registro de aplicaciones automáticamente

Esta opción está diseñada para simplificar la autenticación y requiere unos pocos pasos.

  1. Inicie sesión en Azure Portal y vaya a la aplicación.

  2. Seleccione Autenticación en el menú de la izquierda. Seleccione Agregar el proveedor de identidades.

  3. Seleccione Microsoft en la lista desplegable del proveedor de identidades. La opción para crear un nuevo registro está seleccionada de forma predeterminada. Puede cambiar el nombre del registro o los tipos de cuenta admitidos.

    Se crea y almacena un secreto de cliente como secreto en la aplicación contenedora.

  4. Si va a configurar el primer proveedor de identidades para esta aplicación, se le pedirá una sección deConfiguración de autenticación de Container Apps. De lo contrario, pase al paso siguiente.

    Estas opciones determinan el modo en que la aplicación responde a las solicitudes no autenticadas y las selecciones predeterminadas redirigirán todas las solicitudes para iniciar sesión con este nuevo proveedor. Puede personalizar este comportamiento ahora o ajustar esta configuración más adelante desde la pantalla principal Autenticación; para ello, elija Editar junto a Configuración de la autenticación. Para obtener más información acerca de estas opciones, consulte Flujo de autenticación.

  5. (Opcional) Seleccione Siguiente: Permisos y agregue los ámbitos que necesite la aplicación. Los ámbitos se agregan al registro de la aplicación, pero también puede cambiarlos más adelante.

  6. Seleccione Agregar.

De este modo ya estará listo para usar la plataforma de identidad de Microsoft para realizar la autenticación en la aplicación. El proveedor aparece en la pantalla Autenticación. Desde allí, puede editar o eliminar esta configuración de proveedor.

Opción 2: uso de un registro existente creado por separado

También puede registrar manualmente la aplicación para la plataforma de identidad de Microsoft, personalizar el registro y configurar la autenticación de Container Apps con los detalles de registro. Este enfoque es útil cuando desea usar un registro de aplicaciones de un inquilino de Microsoft Entra diferente al del que se define la aplicación.

Crear un registro de aplicación en Microsoft Entra ID para la aplicación contenedora

En primer lugar, creará el registro de la aplicación. Al hacerlo, recopile la siguiente información que necesita más adelante al configurar la autenticación en la aplicación contenedora:

  • Id. de cliente
  • Id. de inquilino
  • Secreto de cliente (opcional)
  • URI de Id. de aplicación

Para registrar la aplicación, lleve a cabo los siguientes pasos:

  1. Inicie sesión en Azure Portal.
  2. Busque y seleccione Aplicaciones de contenedor y luego seleccione la aplicación. En la página Información general, anote la URL de la aplicación de su aplicación. Se usa para configurar el registro de aplicaciones de Microsoft Entra.
  3. Seleccione Inicio para volver al menú principal del portal. Busque y seleccione Microsoft Entra ID.
  4. En la página Información general, seleccione Agregar y luego seleccione Registro de aplicaciones.
    1. En la página Register an application (Registrar una aplicación), escriba el nombre del registro de aplicaciones.

    2. En URI de redirección, seleccione Web y escriba lo siguiente. Reemplace \<APP_URL\> por la dirección URL de la aplicación que anotó anteriormente.

      <APP_URL>/.auth/login/aad/callback.

      Por ejemplo: https://<CONTAINER_APP_NAME>.<ENVIRONMENT_UNIQUE_ID>.<REGION_NAME>.azurecontainerapps.io/.auth/login/aad/callback.

    3. En Flujos de concesión implícita e híbridos, habilite Tokens de id. para permitir el inicio de sesión de usuarios de OpenID Connect desde Container Apps.

    4. Seleccione Registrar.

  5. Vaya al nuevo registro de aplicaciones.
    1. En la página Información general, copie el id. de aplicación (cliente) y el id. de directorio (inquilino) para más adelante.
    2. (Opcional) Si no ha agregado anteriormente el URI de redirección al registro de la aplicación, puede hacerlo ahora.
      1. En Administrado, seleccione Autenticación.

      2. En la página Autenticación, en Configuraciones de plataforma, seleccione Agregar una plataforma.

      3. En Configurar plataformas, seleccione Web.

      4. En Configurar web, en URI de redirección, escriba lo siguiente. Reemplace \<APP_URL\> por la dirección URL de la aplicación que anotó anteriormente.

        <APP_URL>/.auth/login/aad/callback.

        Por ejemplo: https://<CONTAINER_APP_NAME>.<HOSTNAME>.<LOCATION>.azurecontainerapps.io/.auth/login/aad/callback.

      5. Seleccione Configurar.

    3. (Opcional) En Administrar, seleccione Personalización de marca y propiedades. En URL de página principal, escriba la dirección URL de la aplicación de contenedor y seleccione Guardar.
    4. En Administrar, seleccione Exponer una API.
      1. Seleccione Agregar junto a URI de id. de aplicación.

        El URI de id. de aplicación identifica de forma única la aplicación cuando se usa como un recurso, lo que permite que los tokens solicitados concedan acceso. El valor también se usa como prefijo para los ámbitos que cree.

        Para una aplicación de un solo inquilino, puede usar el valor predeterminado, que tiene el formato api://<APPLICATION_CLIENT_ID>. También puede especificar un URI más legible, como https://contoso.com/api, en función de uno de los dominios comprobados para el inquilino. Para una aplicación multiinquilino, debe proporcionar un URI personalizado. Para más información sobre los formatos aceptados para los URI de id. de aplicación, consulte la referencia de procedimientos recomendados de registros de aplicaciones.

        El valor se guarda automáticamente.

      2. Seleccione Agregar un ámbito.

      3. En Agregar un ámbito, el URI del identificador de aplicación es el valor que estableció en un paso anterior.

      4. Selecciona Guardar y continuar.

      5. En Nombre de ámbito, escriba user_impersonation.

      6. Escriba el nombre para mostrar del consentimiento del administrador y la descripción del consentimiento del administrador que desea que vean los administradores en la página de consentimiento. Un ejemplo de nombre de visualización de consentimiento es Acceso <application-name>.

      7. Selecciona la opción Agregar un ámbito.

    5. En Administrar, seleccione Certificados y secretos.
      1. En la página Certificados y secretos, seleccione Secretos de cliente.
      2. Seleccione Nuevo secreto de cliente.
      3. Escriba una Descripción y seleccione cuándo Expira el secreto.
      4. Seleccione Agregar.
      5. Copie el valor del secreto de cliente que se muestra en la página, ya que el sitio no lo mostrará de nuevo.

Habilitar Microsoft Entra ID en la aplicación de contenedor

  1. Inicie sesión en Azure Portal y vaya a la aplicación.

  2. Seleccione Autenticación en el menú de la izquierda. Seleccione Agregar el proveedor de identidades.

  3. Seleccione Microsoft en la lista desplegable del proveedor de identidades.

  4. Para Tipo de registro de aplicación, puede elegir; Elegir un registro de aplicación existente en este directorio que recopila automáticamente la información necesaria de la aplicación. Si el registro procede de otro inquilino o no tiene permiso para ver el objeto de registro, elija Proporcione los detalles de un registro de aplicación existente. Para esta opción, debe rellenar los siguientes detalles de configuración:

    Advertencia

    Siempre que sea posible, evite usar el flujo de concesión implícita. En la mayoría de los escenarios, hay alternativas más seguras y recomendables. Determinadas configuraciones de este flujo requieren un alto grado de confianza en la aplicación y conllevan riesgos que no están presentes en otros flujos. Solo debe usar este flujo cuando no se puedan usar otros más seguros. Para obtener más información, consulte los problemas de seguridad del flujo de concesión implícita.

    Campo Descripción
    Id. de aplicación (cliente) Use el identificador de la aplicación (cliente) del registro de aplicaciones.
    Secreto del cliente Use el secreto de cliente que generó en el registro de la aplicación. Los secretos de cliente usan el flujo híbrido y la aplicación devuelve tokens de acceso y actualización. Cuando no se establece el secreto de cliente, el flujo implícito se usa para y solo se devuelve un token de id.. El proveedor envía los tokens y se almacenan en el almacén de tokens de EasyAuth.
    Dirección URL del emisor Use <authentication-endpoint>/<TENANT-ID>/v2.0 y reemplace <authentication-endpoint> por el punto de conexión de autenticación del entorno en la nube (por ejemplo, "https://login.microsoftonline.com"" para Azure global), además de reemplazar <TENANT-ID> por el identificador de directorio (inquilino) en el que se creó el registro de la aplicación. Este valor se usa para redirigir a los usuarios al inquilino correcto de Microsoft Entra y para descargar los metadatos adecuados para determinar las claves de firma de tokens adecuadas y el valor de notificación del emisor de tokens, por ejemplo. Para las aplicaciones que usan Azure AD v1, omita /v2.0 en la dirección URL.
    Audiencias de token permitidas De forma implícita, el Id. de aplicación (cliente) se considera siempre que es un público permitido. Si este valor se trata de una aplicación en la nube o de servidor y desea aceptar tokens de autenticación de una aplicación de contenedor de cliente (el token de autenticación se puede recuperar en el encabezado X-MS-TOKEN-AAD-ID-TOKEN), agregue aquí el Id. de aplicación (cliente) de la aplicación cliente.

    El secreto de cliente se almacena como secretos en la aplicación contenedora.

  5. Si este es el primer proveedor de identidades configurado para la aplicación, también se le pedirá una sección de Configuración de autenticación de Container Apps. De lo contrario, pase al paso siguiente.

    Estas opciones determinan el modo en que la aplicación responde a las solicitudes no autenticadas y las selecciones predeterminadas redirigirán todas las solicitudes para iniciar sesión con este nuevo proveedor. Puede cambiar este comportamiento ahora o ajustar esta configuración más adelante desde la pantalla principal Autenticación; para ello, elija Editar junto a Configuración de la autenticación. Para obtener más información acerca de estas opciones, consulte Flujo de autenticación.

  6. Seleccione Agregar.

De este modo ya estará listo para usar la plataforma de identidad de Microsoft para realizar la autenticación en la aplicación. El proveedor aparece en la pantalla Autenticación. Desde allí, puede editar o eliminar esta configuración de proveedor.

Configuración de las aplicaciones cliente para acceder a la aplicación de contenedor

En la sección anterior, registró la aplicación de contenedor para autenticar a los usuarios. En esta sección, registrará aplicaciones nativas de cliente o demonio. Después, pueden solicitar acceso a las API expuestas por la aplicación de contenedor en nombre de los usuarios o a sí mismos. No es necesario completar los pasos de esta sección si solo desea autenticar a los usuarios.

Aplicación cliente nativa

Puede registrar clientes nativos para solicitar acceso a las API de la aplicación de contenedor en nombre de un usuario que ha iniciado sesión.

  1. En Azure portal, seleccione Microsoft Entra ID>Agregar>Registros de aplicaciones.

  2. En la página Register an application (Registrar una aplicación), escriba el nombre del registro de aplicaciones.

  3. En URI de redirección, seleccione Cliente público (móvil y escritorio), y escriba la dirección URL <app-url>/.auth/login/aad/callback. Por ejemplo, https://<hostname>.azurecontainerapps.io/.auth/login/aad/callback.

    Nota:

    Para una aplicación de Microsoft Store, use el valor de SID del paquete como URI en su lugar.

  4. Seleccione Crear.

  5. Una vez creado el registro de aplicación, copie el valor de Id. de aplicación (cliente) .

  6. Seleccione Permisos de API>Agregar permiso>Mis API.

  7. Seleccione el registro de aplicaciones que creó anteriormente para la aplicación de contenedor. Si no ve el registro de aplicaciones, asegúrese de agregar el ámbito de user_impersonation en Crear un registro de aplicación en Microsoft Entra ID para la aplicación contenedora.

  8. En Permisos delegados, seleccione user_impersonation y luego seleccione Agregar permisos.

En esta sección, configuró una aplicación cliente nativa que puede solicitar acceso a la aplicación contenedora en nombre de un usuario.

Aplicación cliente de demonio (llamadas de servicio a servicio)

La aplicación puede adquirir un token para llamar a una API web hospedada en la aplicación de contenedor en nombre propio (no en el nombre de un usuario). Este escenario es útil para las aplicaciones de demonio no interactivas que realizan tareas sin un usuario que ha iniciado sesión. Usa la concesión de credenciales del cliente OAuth 2.0 estándar.

  1. En Azure portal, seleccione Microsoft Entra ID>Agregar>Registros de aplicaciones.
  2. En la página Register an application (Registrar una aplicación), escriba el nombre del registro de aplicaciones de demonio.
  3. En el caso de una aplicación de demonio, no necesita un URI de redireccionamiento para que pueda mantenerlo vacío.
  4. Seleccione Crear.
  5. Una vez creado el registro de aplicación, copie el valor de Id. de aplicación (cliente) .
  6. Seleccione Certificados y secretos>Nuevo secreto de cliente>Agregar. Copie el valor del secreto del cliente que se muestra en la página. No se vuelve a mostrar.

Ahora puede solicitar un token de acceso mediante el Id. de cliente y el secreto de cliente estableciendo el resourceparámetro en el URI del id. de aplicación de la aplicación de destino. A continuación, el token de acceso resultante se puede presentar a la aplicación de destino mediante el Encabezado de autorización OAuth 2.0 estándar, y Autenticación / Autorización de Container Apps valida y usa el token como de costumbre para indicar que el autor de la llamada (una aplicación en este caso, no un usuario) se autentica.

Este proceso permite cualquier aplicación cliente del inquilino de Microsoft Entra para solicitar un token de acceso y autenticarse en la aplicación de destino. Si también desea aplicar autorización para permitir solo determinadas aplicaciones cliente, debe ajustar la configuración.

  1. Defina un rol de aplicación en el manifiesto del registro de la aplicación que representa la aplicación de contenedor que quiere proteger.
  2. En el registro de la aplicación que representa el cliente que debe ser autorizado, seleccione Permisos de API>Agregar un permiso>Mis API.
  3. Seleccione el registro de aplicaciones que creó anteriormente. Si no ve el registro de la aplicación, asegúrese de que agregar un rol de aplicación.
  4. En Permisos de aplicación, seleccione el rol de aplicación que creó anteriormente y, a continuación, seleccione Agregar permisos.
  5. Asegúrese de seleccionar Conceder consentimiento del administrador para autorizar la aplicación cliente para que solicite el permiso.
  6. De forma similar al escenario anterior (antes de agregar roles), ahora puede solicitar un token de acceso para el mismo destinoresource, y el token de acceso incluye una notificación de roles que contiene los roles de aplicación autorizados para la aplicación cliente.
  7. Dentro del código de Container Apps de destino, valide que los roles esperados estén presentes ahora en el token. La capa de autenticación de Container Apps no realiza los pasos de validación. Para más información, consulte Access user claims (Acceso a las notificaciones de usuario).

En esta sección, configuró una aplicación cliente de demonio que puede acceder a la aplicación contenedora mediante su propia identidad.

Trabajar con usuarios autenticados

Use las guías siguientes para obtener detalles sobre cómo trabajar con usuarios autenticados.

Pasos siguientes