Verificatiescenario's en aanbevelingen
Als u een web-app of api hebt die wordt uitgevoerd in Azure-app Service, kunt u de toegang beperken op basis van de identiteit van de gebruikers of toepassingen die deze aanvragen. App Service biedt verschillende verificatieoplossingen om u te helpen dit doel te bereiken. In dit artikel leert u meer over de verschillende verificatieopties, de bijbehorende voordelen en nadelen en welke verificatieoplossing moet worden gebruikt voor specifieke scenario's.
Verificatieoplossingen
- Azure-app ingebouwde serviceverificatie: hiermee kunt u gebruikers aanmelden en toegang krijgen tot gegevens door minimale of geen code te schrijven in uw web-app, RESTful-API of mobiele back-end. Het is rechtstreeks ingebouwd in het platform en vereist geen specifieke taal, bibliotheek, beveiligingsexpertise of zelfs code die moet worden gebruikt.
- Microsoft Authentication Library (MSAL): hiermee kunnen ontwikkelaars beveiligingstokens verkrijgen van het Microsoft Identity Platform om gebruikers te verifiëren en toegang te krijgen tot beveiligde web-API's. Dit zijn bibliotheken voor algemeen gebruik die kunnen worden gebruikt in verschillende gehoste omgevingen voor meerdere ondersteunde platforms en frameworks. Ontwikkelaars kunnen ook integreren met meerdere aanmeldingsproviders, zoals Microsoft Entra, Facebook, Google, X.
- Microsoft.Identity.Web - Een bibliotheek op een hoger niveau die MSAL.NET verpakt, biedt een set ASP.NET Kernabstracties waarmee het toevoegen van verificatieondersteuning aan web-apps en web-API's die zijn geïntegreerd met het Microsoft Identity Platform vereenvoudigen. Het biedt een api-laag met één surface die is gekoppeld aan ASP.NET Core, de verificatie-middleware en MSAL.NET. Deze bibliotheek kan worden gebruikt in apps in verschillende gehoste omgevingen. U kunt integreren met meerdere aanmeldingsproviders, zoals Microsoft Entra, Facebook, Google, X.
Aanbevelingen voor scenario's
De volgende tabel bevat elke verificatieoplossing en enkele belangrijke factoren voor wanneer u deze zou gebruiken.
| Verificatiemethode | Wanneer gebruiken |
|---|---|
| Ingebouwde App Service-verificatie | * U wilt minder code bezitten en beheren. * De taal en SDK's van uw app bieden geen aanmelding of autorisatie van gebruikers. * U hebt niet de mogelijkheid om uw app-code te wijzigen (bijvoorbeeld bij het migreren van verouderde apps). * U moet verificatie afhandelen via configuratie en niet code. * U moet zich aanmelden bij externe of sociale gebruikers. |
| Microsoft Authentication Library (MSAL) | * U hebt een codeoplossing in een van de verschillende talen nodig * U moet aangepaste autorisatielogica toevoegen. * U moet incrementele toestemming ondersteunen. * U hebt informatie nodig over de aangemelde gebruiker in uw code. * U moet zich aanmelden bij externe of sociale gebruikers. * Uw app moet het toegangstoken verwerken dat verloopt zonder de gebruiker opnieuw aan te melden. |
| Microsoft.Identity.Web | * U hebt een ASP.NET Core-app. * U hebt ondersteuning voor eenmalige aanmelding nodig in uw IDE tijdens lokale ontwikkeling. * U moet aangepaste autorisatielogica toevoegen. * U moet incrementele toestemming ondersteunen. * U hebt voorwaardelijke toegang nodig in uw web-app. * U hebt informatie nodig over de aangemelde gebruiker in uw code. * U moet zich aanmelden bij externe of sociale gebruikers. * Uw app moet het toegangstoken verwerken dat verloopt zonder de gebruiker opnieuw aan te melden. |
De volgende tabel bevat verificatiescenario's en de verificatieoplossing(en) die u zou gebruiken.
| Scenario | Ingebouwde App Service-verificatie | Microsoft Authentication Library | Microsoft.Identity.Web |
|---|---|---|---|
| Hebt u een snelle en eenvoudige manier nodig om de toegang tot gebruikers in uw organisatie te beperken? | ✅ | ❌ | ❌ |
| Kan de toepassingscode (app-migratiescenario) niet wijzigen? | ✅ | ❌ | ❌ |
| De taal en bibliotheken van uw app ondersteunen aanmelding/autorisatie van gebruikers? | ❌ | ✅ | ✅ |
| Zelfs als u een codeoplossing kunt gebruiken, wilt u liever geen bibliotheken gebruiken? Wilt u de onderhoudslast niet? | ✅ | ❌ | ❌ |
| Moet uw web-app incrementele toestemming geven? | ❌ | ✅ | ✅ |
| Hebt u voorwaardelijke toegang nodig in uw web-app? | ❌ | ❌ | ✅ |
| Uw app moet het toegangstoken afhandelen zonder dat de gebruiker zich opnieuw aanmeldt (gebruikt u een vernieuwingstoken)? | ✅ | ✅ | ✅ |
| Hebt u aangepaste autorisatielogica of informatie over de aangemelde gebruiker nodig? | ❌ | ✅ | ✅ |
| Wilt u gebruikers aanmelden bij externe of sociale id-providers? | ✅ | ✅ | ✅ |
| Hebt u een ASP.NET Core-app? | ✅ | ❌ | ✅ |
| Hebt u één pagina-app of statische web-app? | ✅ | ✅ | ✅ |
| Wilt u Visual Studio-integratie? | ❌ | ❌ | ✅ |
| Hebt u ondersteuning voor eenmalige aanmelding in uw IDE nodig tijdens lokale ontwikkeling? | ❌ | ❌ | ✅ |
Volgende stappen
Lees het volgende om aan de slag te gaan met ingebouwde App Service-verificatie:
Lees het volgende om aan de slag te gaan met Microsoft Authentication Library (MSAL):
- Aanmelden met Microsoft toevoegen aan een web-app
- Alleen geverifieerde gebruiker toegang geven tot een web-API
- Gebruikers aanmelden bij een toepassing met één pagina (BEVEILIGD-WACHTWOORDVERIFICATIE)
Lees het volgende om aan de slag te gaan met Microsoft.Identity.Web:
- Gebruikers aanmelden bij een web-app
- Een web-API beveiligen
- Gebruikers aanmelden bij een Blazor Server-app
Meer informatie over ingebouwde App Service-verificatie en -autorisatie