Szybki start: dodawanie uwierzytelniania aplikacji do aplikacji internetowej działającej w usłudze aplikacja systemu Azure Service
Uwaga
Od 1 czerwca 2024 r. wszystkie nowo utworzone aplikacje usługi App Service będą miały możliwość wygenerowania unikatowej domyślnej nazwy hosta przy użyciu konwencji <app-name>-<random-hash>.<region>.azurewebsites.net
nazewnictwa . Istniejące nazwy aplikacji pozostaną niezmienione.
Przykład: myapp-ds27dh7271aah175.westus-01.azurewebsites.net
Aby uzyskać więcej informacji, zapoznaj się z unikatową domyślną nazwą hosta zasobu usługi App Service.
Dowiedz się, jak włączyć uwierzytelnianie dla aplikacji internetowej działającej w usłudze aplikacja systemu Azure i ograniczyć dostęp do użytkowników w organizacji.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Konfigurowanie uwierzytelniania dla aplikacji internetowej.
- Ogranicz dostęp do aplikacji internetowej użytkownikom w organizacji przy użyciu usługi Microsoft Entra jako dostawcy tożsamości.
Automatyczne uwierzytelnianie udostępniane przez usługę App Service
Usługa App Service zapewnia wbudowaną obsługę uwierzytelniania i autoryzacji, dzięki czemu można logować użytkowników bez kodu w aplikacji internetowej. Użycie opcjonalnego modułu uwierzytelniania/autoryzacji usługi App Service upraszcza uwierzytelnianie i autoryzację dla aplikacji. Gdy wszystko będzie gotowe do uwierzytelniania niestandardowego i autoryzacji, tworzysz tę architekturę.
Uwierzytelnianie usługi App Service zapewnia:
- Łatwe włączanie i konfigurowanie za pomocą witryny Azure Portal i ustawień aplikacji.
- Nie są wymagane żadne zestawy SDK, określone języki ani zmiany kodu aplikacji.
- Obsługiwanych jest kilka dostawców tożsamości:
- Microsoft Entra
- Konto Microsoft
- X
Po włączeniu modułu uwierzytelniania/autoryzacji każde przychodzące żądanie HTTP przechodzi przez nie przed obsługą kodu aplikacji. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie i autoryzacja w usłudze aplikacja systemu Azure.
1. Wymagania wstępne
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.
2. Tworzenie i publikowanie aplikacji internetowej w usłudze App Service
Na potrzeby tego samouczka potrzebna jest aplikacja internetowa wdrożona w usłudze App Service. Możesz użyć istniejącej aplikacji internetowej lub wykonać jedną z przewodników Szybki start, aby utworzyć i opublikować nową aplikację internetową w usłudze App Service:
Niezależnie od tego, czy używasz istniejącej aplikacji internetowej, czy tworzysz nową, zanotuj następujące kwestie:
- Nazwa aplikacji internetowej.
- Grupa zasobów wdrożona w aplikacji internetowej.
Te nazwy są potrzebne w tym samouczku.
3. Konfigurowanie uwierzytelniania i autoryzacji
Teraz, gdy masz aplikację internetową działającą w usłudze App Service, włącz uwierzytelnianie i autoryzację. Firma Microsoft Entra jest używana jako dostawca tożsamości. Aby uzyskać więcej informacji, zobacz Configure Microsoft Entra authentication for your App Service application (Konfigurowanie uwierzytelniania entra firmy Microsoft dla aplikacji usługi App Service).
W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie.
W obszarze Grupy zasobów znajdź i wybierz grupę zasobów. W obszarze Przegląd wybierz stronę zarządzania aplikacją.
W menu po lewej stronie aplikacji wybierz pozycję Uwierzytelnianie, a następnie wybierz pozycję Dodaj dostawcę tożsamości.
Na stronie Dodawanie dostawcy tożsamości wybierz pozycję Microsoft jako dostawcę tożsamości, aby zalogować się do tożsamości firmy Microsoft i tożsamości firmy Microsoft.
W obszarze Typ dzierżawy wybierz pozycję Konfiguracja pracowników (bieżąca dzierżawa) dla pracowników i gości biznesowych.
W polu Typ rejestracji>aplikacji wybierz pozycję Utwórz nową rejestrację aplikacji, aby utworzyć nową rejestrację aplikacji w usłudze Microsoft Entra.
Wprowadź nazwę wyświetlaną aplikacji. Użytkownicy aplikacji mogą zobaczyć nazwę wyświetlaną podczas korzystania z aplikacji, na przykład podczas logowania.
W obszarze Wygaśnięcie wpisu tajnego klienta wybierz pozycję Zalecane: 180 dni.
W obszarze Typy kont obsługiwanych rejestracji>aplikacji wybierz pozycję Bieżąca dzierżawa z jedną dzierżawą, aby tylko użytkownicy w organizacji mogli logować się do aplikacji internetowej.
W sekcji Dodatkowe kontrole wybierz pozycję:
- Zezwalaj na żądania tylko z tej aplikacji dla wymagań aplikacji klienckiej
- Zezwalaj na żądania z dowolnej tożsamości dla wymagań dotyczących tożsamości
- Zezwalaj na żądania tylko z dzierżawy wystawcy na potrzeby dzierżawy
W sekcji Ustawienia uwierzytelniania usługi App Service ustaw następujące ustawienia:
- Wymaganie uwierzytelniania dla uwierzytelniania
- Znaleziono przekierowanie HTTP 302: zalecane w przypadku witryn internetowych dla nieuwierzytelnionych żądań
- Pole magazynu tokenów
W dolnej części strony Dodawanie dostawcy tożsamości wybierz pozycję Dodaj , aby włączyć uwierzytelnianie dla aplikacji internetowej.
Masz teraz aplikację zabezpieczoną za pomocą uwierzytelniania i autoryzacji usługi App Service.
Uwaga
Aby zezwolić na konta z innych dzierżaw, zmień wartość "Adres URL wystawcy" na "https://login.microsoftonline.com/common/v2.0", edytując dostawcę tożsamości z bloku "Uwierzytelnianie".
4. Sprawdź ograniczony dostęp do aplikacji internetowej
Po włączeniu modułu uwierzytelniania/autoryzacji usługi App Service w poprzedniej sekcji rejestracja aplikacji została utworzona w ramach pracowników lub dzierżawy zewnętrznej. Rejestracja aplikacji ma nazwę wyświetlaną utworzoną w poprzednim kroku.
Aby sprawdzić ustawienia, zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji. Jeśli wybrano konfigurację zewnętrzną, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z aplikacją internetową z menu Subskrypcje + katalogów. Jeśli jesteś w odpowiedniej dzierżawie:
Przejdź do pozycji Identity>Applications> Rejestracje aplikacji i wybierz pozycję Aplikacje> Rejestracje aplikacji z menu.
Wybierz utworzoną rejestrację aplikacji.
W przeglądzie sprawdź, czy obsługiwane typy kont są ustawione tylko na Moja organizacja.
Aby sprawdzić, czy dostęp do aplikacji jest ograniczony do użytkowników w organizacji, przejdź do obszaru Przegląd aplikacji internetowej i wybierz link Domyślna domena. Możesz też uruchomić przeglądarkę w trybie incognito lub prywatnym i przejść do
https://<app-name>.azurewebsites.net
strony (zobacz notatkę u góry).Powinno nastąpić przekierowanie do zabezpieczonej strony logowania, sprawdzając, czy nieuwierzytelnieni użytkownicy nie mają dostępu do witryny.
Zaloguj się jako użytkownik w organizacji, aby uzyskać dostęp do witryny. Możesz również uruchomić nową przeglądarkę i spróbować zalogować się przy użyciu konta osobistego, aby sprawdzić, czy użytkownicy spoza organizacji nie mają dostępu.
5. Czyszczenie zasobów
Jeśli wszystkie kroki opisane w tym samouczku wieloczęściowym zostały wykonane, utworzono usługę App Service, plan hostingu usługi App Service i konto magazynu w grupie zasobów. Utworzono również rejestrację aplikacji w identyfikatorze Entra firmy Microsoft. Jeśli wybrano konfigurację zewnętrzną, być może utworzono nową dzierżawę zewnętrzną. Gdy te zasoby i rejestracja aplikacji nie będą już potrzebne, usuń je, aby nie były naliczane opłaty.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Usuń zasoby platformy Azure utworzone podczas wykonywania kroków samouczka.
Usuwanie grupy zasobów
W witrynie Azure Portal wybierz pozycję Grupy zasobów z menu portalu i wybierz grupę zasobów zawierającą plan usługi App Service i usługi App Service.
Wybierz pozycję Usuń grupę zasobów, aby usunąć grupę zasobów i wszystkie zasoby.
Uruchomienie tego polecenia może potrwać kilka minut.
Usuwanie rejestracji aplikacji
W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Aplikacje> Rejestracje aplikacji. Następnie wybierz utworzoną aplikację.
W przeglądzie rejestracji aplikacji wybierz pozycję Usuń.
Usuwanie dzierżawy zewnętrznej
Jeśli utworzono nową dzierżawę zewnętrzną, możesz ją usunąć. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Przegląd>tożsamości>Zarządzanie dzierżawami.
Wybierz dzierżawę, którą chcesz usunąć, a następnie wybierz pozycję Usuń.
Może być konieczne wykonanie wymaganych akcji przed usunięciem dzierżawy. Na przykład może być konieczne usunięcie wszystkich przepływów użytkownika i rejestracji aplikacji w dzierżawie.
Jeśli wszystko będzie gotowe do usunięcia dzierżawy, wybierz pozycję Usuń.
Następne kroki
W tym samouczku zawarto informacje na temat wykonywania następujących czynności:
- Konfigurowanie uwierzytelniania dla aplikacji internetowej.
- Ogranicz dostęp do aplikacji internetowej do użytkowników w organizacji.