Szybki start: Dodawanie uwierzytelniania aplikacji do aplikacji internetowej działającej na usłudze Azure App Service

Uwaga

Od 1 czerwca 2024 r. nowo utworzone aplikacje usługi App Service mogą wygenerować unikatową domyślną nazwę hosta, która używa konwencji nazewnictwa <app-name>-<random-hash>.<region>.azurewebsites.net. Na przykład: myapp-ds27dh7271aah175.westus-01.azurewebsites.net. Istniejące nazwy aplikacji pozostają niezmienione.

Aby uzyskać więcej informacji, zobacz wpis w blogu dotyczący tworzenia aplikacji internetowej z unikatową domyślną nazwą hosta.

Dowiedz się, jak włączyć uwierzytelnianie dla aplikacji internetowej działającej w usłudze aplikacja systemu Azure i ograniczyć dostęp do użytkowników w organizacji.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Konfigurowanie uwierzytelniania dla aplikacji internetowej.
• Ogranicz dostęp do aplikacji internetowej użytkownikom w organizacji przy użyciu usługi Microsoft Entra jako dostawcy tożsamości.

Automatyczne uwierzytelnianie udostępniane przez usługę App Service

Usługa App Service zapewnia wbudowaną obsługę uwierzytelniania i autoryzacji, dzięki czemu można logować użytkowników bez kodu w aplikacji internetowej. Użycie opcjonalnego modułu uwierzytelniania/autoryzacji usługi App Service upraszcza uwierzytelnianie i autoryzację dla aplikacji. Kiedy jesteś gotowy na niestandardowe uwierzytelnianie i autoryzację, rozwijasz ten system architektury.

Uwierzytelnianie usługi App Service zapewnia:

• Łatwe włączanie i konfigurowanie za pomocą witryny Azure Portal i ustawień aplikacji.
• Nie są wymagane żadne zestawy SDK, określone języki ani zmiany kodu aplikacji.
• Obsługiwanych jest kilka dostawców tożsamości:
  • Microsoft Entra
  • Konto Microsoft
  • Facebook
  • Google
  • X

Po włączeniu modułu uwierzytelniania/autoryzacji każde przychodzące żądanie HTTP przechodzi przez nie przed obsługą kodu aplikacji. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie i autoryzacja w usłudze aplikacja systemu Azure.

1. Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.

2. Tworzenie i publikowanie aplikacji internetowej w usłudze App Service

Na potrzeby tego samouczka potrzebna jest aplikacja internetowa wdrożona w usłudze App Service. Możesz użyć istniejącej aplikacji internetowej albo skorzystać z jednego z szybkich startów, aby utworzyć i opublikować nową aplikację internetową w usłudze App Service.

• ASP.NET Core
• Node.js
• Python
• Java

Niezależnie od tego, czy używasz istniejącej aplikacji internetowej, czy tworzysz nową, zanotuj następujące kwestie:

• Nazwa aplikacji internetowej.
• Grupa zasobów, do której jest wdrożona aplikacja internetowa.

Nazwy te będą potrzebne przez cały ten samouczek.

3. Konfigurowanie uwierzytelniania i autoryzacji

Teraz, gdy masz aplikację internetową działającą w usłudze App Service, włącz uwierzytelnianie i autoryzację. Używasz Microsoft Entra jako dostawcy tożsamości. Aby uzyskać więcej informacji, zobacz Configure Microsoft Entra authentication for your App Service application (Konfigurowanie uwierzytelniania entra firmy Microsoft dla aplikacji usługi App Service).

Konfiguracja pracowników

1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie.

2. W Grupy zasobów wyszukaj i wybierz swoją grupę zasobów. W obszarze Przegląd wybierz stronę zarządzania aplikacją.

   

3. W menu po lewej stronie aplikacji wybierz pozycję Uwierzytelnianie, a następnie wybierz pozycję Dodaj dostawcę tożsamości.

4. Na stronie Dodawanie dostawcy tożsamości wybierz Microsoft jako dostawcę tożsamości, aby zalogować się do tożsamości Microsoft i Microsoft Entra.

5. W obszarze Typ dzierżawcy wybierz Konfigurację zatrudnienia (bieżący dzierżawca) dla pracowników i gości biznesowych.

6. W polu >aplikacji wybierz pozycję Utwórz nową rejestrację aplikacji, aby utworzyć nową rejestrację aplikacji w usłudze Microsoft Entra.

7. Wprowadź wyświetlaną nazwę dla swojej aplikacji. Użytkownicy aplikacji mogą zobaczyć nazwę wyświetlaną podczas korzystania z aplikacji, na przykład podczas logowania.

8. W obszarze Wygaśnięcie tajemnicy klienta wybierz opcję Zalecane: 180 dni.

9. Dla Rejestracja aplikacji>Obsługiwane typy kont wybierz Obecny dzierżawca - pojedynczy dzierżawca, aby tylko użytkownicy w Twojej organizacji mogli logować się do aplikacji internetowej.

10. W sekcji Dodatkowe kontrole wybierz pozycję:

    • Zezwalaj na żądania tylko z tej aplikacji dla wymagań aplikacji klienckiej
    • Zezwalaj na żądania z dowolnej tożsamości dla wymagań dotyczących tożsamości
    • Zezwalaj na żądania tylko od dzierżawcy wystawcy w ramach wymagań dzierżawy

11. W sekcji Ustawienia uwierzytelniania usługi App Service ustaw następujące ustawienia:

    • Wymagaj uwierzytelniania dla Uwierzytelnianie
    • Znaleziono przekierowanie HTTP 302: zalecane dla stron internetowych dla niezautoryzowanych żądań
    • Pudełko magazynu tokenów

12. W dolnej części strony Dodawania dostawcy tożsamości wybierz pozycję Dodaj, aby włączyć uwierzytelnianie dla Twojej aplikacji internetowej.

    

    Masz teraz aplikację zabezpieczoną za pomocą uwierzytelniania i autoryzacji usługi App Service.

    Uwaga

    Aby zezwolić na konta z innych dzierżaw, zmień wartość "Adres URL wystawcy" na "https://login.microsoftonline.com/common/v2.0", edytując dostawcę tożsamości z panelu "Uwierzytelnianie".

Konfiguracja zewnętrzna

1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie.

2. W Grupach zasobów znajdź swoją grupę zasobów i ją wybierz. W obszarze Przegląd wybierz stronę zarządzania aplikacją.

   

3. W menu po lewej stronie w aplikacji wybierz Uwierzytelnianie, a następnie wybierz Dodaj dostawcę tożsamości.

4. Na stronie Dodawanie dostawcy tożsamości wybierz Microsoft jako dostawcę tożsamości, aby zalogować się za pomocą identyfikatorów Microsoft i Microsoft Entra.

5. W polu Typ dzierżawy wybierz pozycję Konfiguracja zewnętrzna dla użytkowników zewnętrznych.

6. Wybierz pozycję Utwórz nową rejestrację aplikacji, aby utworzyć nową rejestrację aplikacji.

7. Wybierz istniejącą dzierżawę do użycia z listy rozwijanej lub wybierz pozycję Utwórz nową , aby utworzyć nową dzierżawę zewnętrzną.

   

8. (Opcjonalnie) Na stronie Tworzenie dzierżawy dodaj nazwę dzierżawy* i nazwę domeny. Wybierz lokalizację, a następnie kliknij Przejrzyj i utwórz, a potem Utwórz.

   

9. Wybierz pozycję Konfiguruj , aby skonfigurować uwierzytelnianie zewnętrzne.

10. Przeglądarka otwiera Konfigurowanie uwierzytelniania klienta. W obszarze Konfigurowanie logowania wybierz pozycję Utwórz nowy , aby utworzyć środowisko logowania dla użytkowników zewnętrznych.

11. Wprowadź nazwę przepływu użytkownika.

12. W tym podręczniku szybkiego startu wybierz pozycję Adres e-mail i hasło które umożliwia nowym użytkownikom rejestrację i logowanie się przy użyciu adresu e-mail jako nazwy logowania i hasła jako pierwszego środku uwierzytelniania.

13. Wybierz pozycję Utwórz, aby utworzyć przepływ użytkownika.

    

14. Wybierz przycisk Dalej , aby dostosować znakowanie.

15. Dodaj logo firmy, wybierz kolor tła i wybierz układ logowania.

    

16. Wybierz Dalej. Jeśli wybrany najemca ma już konfigurację brandingu, musisz potwierdzić, że chcesz ją zastąpić.

17. Wybierz pozycję Konfiguruj na karcie Przegląd , aby potwierdzić aktualizację dzierżawy zewnętrznej.

18. Przeglądarka powraca do strony Dodawanie dostawcy tożsamości.

19. W sekcji Dodatkowe kontrole wybierz pozycję:

    • Zezwalaj na żądania tylko z tej aplikacji dla wymagań aplikacji klienckiej
    • Zezwalaj na żądania z dowolnej tożsamości dla wymagań dotyczących tożsamości
    • Zezwalaj na żądania tylko od wystawcy dzierżawy na potrzeby wymagań dzierżawy

20. W sekcji Ustawienia uwierzytelniania usługi App Service ustaw następujące ustawienia:

    • Wymagaj uwierzytelniania dla Uwierzytelnianie
    • Znaleziono przekierowanie HTTP 302: zalecane dla witryn dla żądań bez uwierzytelnienia
    • Pudełko magazynu tokenów

21. Na dole strony Dodaj dostawcę tożsamości wybierz pozycję Dodaj, aby włączyć uwierzytelnianie dla twojej aplikacji internetowej.

    

4. Sprawdź ograniczony dostęp do aplikacji internetowej

Po włączeniu modułu uwierzytelniania/autoryzacji usługi App Service w poprzednim punkcie rejestracja aplikacji została utworzona w Twojej dzierżawie pracowniczej lub dzierżawie zewnętrznej. Rejestracja aplikacji ma nazwę wyświetlaną utworzoną w poprzednim kroku.

1. Aby sprawdzić ustawienia, zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji. Jeśli wybrano konfigurację zewnętrzną, użyj ikony Ustawienia w górnym menu, aby przełączyć się do zewnętrznej dzierżawy z aplikacją internetową z menu Katalogi + Subskrypcje. Jeśli jesteś w odpowiedniej dzierżawie:

2. Przejdź do Identity>Applications>Rejestracje aplikacji i wybierz Applications>Rejestracje aplikacji z menu.

3. Wybierz utworzoną rejestrację aplikacji.

4. W przeglądzie sprawdź, czy Obsługiwane typy kont są ustawione na Tylko moja organizacja.

5. Aby sprawdzić, czy dostęp do aplikacji jest ograniczony do użytkowników w organizacji, przejdź do obszaru Przegląd aplikacji internetowej i wybierz link Domyślna domena. Możesz też uruchomić przeglądarkę w trybie incognito lub prywatnym i przejść do https://<app-name>.azurewebsites.net strony (zobacz notatkę u góry).

   

6. Powinno nastąpić przekierowanie do zabezpieczonej strony logowania, sprawdzając, czy nieuwierzytelnieni użytkownicy nie mają dostępu do witryny.

7. Zaloguj się jako użytkownik w organizacji, aby uzyskać dostęp do witryny. Możesz również uruchomić nową przeglądarkę i spróbować zalogować się przy użyciu konta osobistego, aby sprawdzić, czy użytkownicy spoza organizacji nie mają dostępu.

5. Czyszczenie zasobów

Jeśli wykonałeś wszystkie kroki w tym samouczku wieloczęściowym, utworzyłeś usługę App Service, plan hostingu usługi App Service i konto magazynu w grupie zasobów. Utworzono również rejestrację aplikacji w identyfikatorze Entra firmy Microsoft. Jeśli wybrałeś konfigurację zewnętrzną, mogłeś utworzyć nowego zewnętrznego klienta. Gdy te zasoby i rejestracja aplikacji nie będą już potrzebne, usuń je, aby nie były naliczane opłaty.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Usuń zasoby platformy Azure utworzone podczas wykonywania kroków samouczka.

Usuwanie grupy zasobów

W portalu Azure wybierz pozycję Grupy zasobów z menu portalu i wybierz grupę zasobów zawierającą usługę App Service i plan usługi App Service.

Wybierz pozycję Usuń grupę zasobów, aby usunąć grupę zasobów i wszystkie zasoby.

Uruchomienie tego polecenia może potrwać kilka minut.

Usuwanie rejestracji aplikacji

W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Aplikacje> Rejestracje aplikacji. Następnie wybierz utworzoną aplikację.

W widoku rejestracji aplikacji wybierz pozycję Usuń.

Usuń dzierżawę zewnętrzną

Jeśli utworzyłeś nową dzierżawę zewnętrzną, możesz ją usunąć. W centrum administracyjnym Microsoft Entra przejdź do Tożsamość>Przegląd>Zarządzanie dzierżawcami.

Wybierz dzierżawcę, którego chcesz usunąć, a następnie wybierz pozycję Usuń.

Może być konieczne wykonanie wymaganych akcji przed usunięciem dzierżawy. Na przykład może być konieczne usunięcie wszystkich przepływów użytkownika i rejestracji aplikacji w ramach dzierżawy.

Jeśli jesteś gotowy do usunięcia dzierżawy, wybierz Usuń.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

• Konfigurowanie uwierzytelniania dla aplikacji internetowej.
• Ogranicz dostęp do aplikacji internetowej do użytkowników w organizacji.

Usługa App Service uzyskuje dostęp do magazynu