Tożsamości zarządzane dla usługi Azure SignalR Service
W usłudze Azure SignalR Service możesz użyć tożsamości zarządzanej z identyfikatora Entra firmy Microsoft do:
- Uzyskiwanie tokenów dostępu.
- Uzyskiwanie dostępu do wpisów tajnych w usłudze Azure Key Vault.
Usługa obsługuje tylko jedną tożsamość zarządzaną. Można utworzyć tożsamość przypisaną przez system lub przypisaną przez użytkownika. Tożsamość przypisana przez system jest dedykowana dla wystąpienia usługi Azure SignalR Service i jest usuwana po usunięciu wystąpienia. Tożsamość przypisana przez użytkownika jest zarządzana niezależnie od zasobu usługi Azure SignalR Service.
W tym artykule pokazano, jak utworzyć tożsamość zarządzaną dla usługi Azure SignalR Service i jak używać jej w scenariuszach bezserwerowych.
Wymagania wstępne
Aby użyć tożsamości zarządzanej, musisz mieć następujące elementy:
- Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
- Zasób usługi Azure SignalR Service.
- Zasoby nadrzędne, do których chcesz uzyskać dostęp, takie jak zasób usługi Azure Key Vault.
- Aplikacja usługi Azure Functions (aplikacja funkcji).
Dodawanie tożsamości zarządzanej do usługi Azure SignalR Service
Tożsamość zarządzaną można dodać do usługi Azure SignalR Service w witrynie Azure Portal lub w interfejsie wiersza polecenia platformy Azure. W tym artykule pokazano, jak dodać tożsamość zarządzaną do usługi Azure SignalR Service w witrynie Azure Portal.
Dodawanie tożsamości przypisanej przez system
Aby dodać tożsamość zarządzaną przypisaną przez system do wystąpienia usługi Azure SignalR Service:
W witrynie Azure Portal przejdź do wystąpienia usługi Azure SignalR Service.
Wybierz Tożsamość.
Na karcie Przypisane przez system przełącz pozycję Stan na Włączone.
Wybierz pozycję Zapisz.
Wybierz pozycję Tak , aby potwierdzić zmianę.
Dodawanie tożsamości przypisanej przez użytkownika
Aby dodać tożsamość przypisaną przez użytkownika do wystąpienia usługi Azure SignalR Service, musisz utworzyć tożsamość, a następnie dodać ją do usługi.
Utwórz zasób tożsamości zarządzanej przypisanej przez użytkownika zgodnie z tymi instrukcjami.
W witrynie Azure Portal przejdź do wystąpienia usługi Azure SignalR Service.
Wybierz Tożsamość.
Na karcie Przypisane przez użytkownika wybierz pozycję Dodaj.
Z menu rozwijanego Tożsamości zarządzane przypisane przez użytkownika wybierz tożsamość.
Wybierz Dodaj.
Używanie tożsamości zarządzanej w scenariuszach bezserwerowych
Azure SignalR Service to w pełni zarządzana usługa. Używa tożsamości zarządzanej do uzyskania tokenu dostępu. W scenariuszach bezserwerowych usługa dodaje token dostępu do nagłówka Authorization
w żądaniu nadrzędnym.
Włączanie uwierzytelniania tożsamości zarządzanej w ustawieniach nadrzędnych
Po dodaniu tożsamości przypisanej przez system lub tożsamości przypisanej przez użytkownika do wystąpienia usługi Azure SignalR Service można włączyć uwierzytelnianie tożsamości zarządzanej w ustawieniach nadrzędnego punktu końcowego:
W witrynie Azure Portal przejdź do wystąpienia usługi Azure SignalR Service.
W menu wybierz pozycję Ustawienia.
Wybierz tryb usługi bezserwerowej.
W polu tekstowym Dodawanie wzorca nadrzędnego adresu URL wprowadź wzorzec nadrzędnego adresu URL punktu końcowego. Zobacz Ustawienia szablonu adresu URL.
Wybierz pozycję Dodaj jedno ustawienie nadrzędne, a następnie wybierz dowolną gwiazdkę.
W obszarze Ustawienia nadrzędne skonfiguruj ustawienia nadrzędnego punktu końcowego.
W ustawieniach uwierzytelniania tożsamości zarządzanej w polu Odbiorcy w wystawionym tokenie można określić zasób docelowy. Zasób stanie się oświadczeniem w uzyskanym
aud
tokenie dostępu, który może być używany jako część weryfikacji w nadrzędnych punktach końcowych. Zasób może mieć jeden z następujących formatów:- Identyfikator aplikacji (klienta) jednostki usługi.
- Identyfikator URI identyfikatora aplikacji jednostki usługi.
Ważne
Korzystanie z pustego zasobu w rzeczywistości uzyskuje obiekty docelowe tokenu w programie Microsoft Graph. Obecnie program Microsoft Graph umożliwia szyfrowanie tokenów, dzięki czemu aplikacja nie jest dostępna do uwierzytelniania tokenu innego niż program Microsoft Graph. W typowym przypadku należy zawsze utworzyć jednostkę usługi reprezentującą nadrzędny element docelowy. Ustaw identyfikator aplikacji lub identyfikator URI aplikacji utworzonej jednostki usługi.
Uwierzytelnianie w aplikacji funkcji
Walidację dostępu dla aplikacji funkcji bez zmian kodu można łatwo ustawić przy użyciu witryny Azure Portal:
W witrynie Azure Portal przejdź do aplikacji funkcji.
Wybierz Uwierzytelnianie z menu poleceń.
Wybierz pozycję Dodaj dostawcę tożsamości.
Na karcie Podstawowe na liście rozwijanej Dostawca tożsamości wybierz pozycję Microsoft.
W obszarze Akcja do wykonania, gdy żądanie nie jest uwierzytelnione, wybierz pozycję Zaloguj się przy użyciu identyfikatora Entra firmy Microsoft.
Opcja utworzenia nowej rejestracji jest domyślnie zaznaczona. Możesz zmienić nazwę rejestracji. Aby uzyskać więcej informacji na temat włączania dostawcy usługi Microsoft Entra, zobacz Configure your App Service or Azure Functions app to use a Microsoft Entra ID sign-in (Konfigurowanie aplikacji App Service lub Azure Functions w celu korzystania z logowania microsoft Entra ID).
Przejdź do usługi Azure SignalR Service i wykonaj kroki, aby dodać tożsamość przypisaną przez system lub tożsamość przypisaną przez użytkownika.
W usłudze Azure SignalR Service przejdź do pozycji Ustawienia nadrzędne, a następnie wybierz pozycję Użyj tożsamości zarządzanej i Wybierz z istniejących aplikacji. Wybierz utworzoną wcześniej aplikację.
Po skonfigurowaniu tych ustawień aplikacja funkcji odrzuci żądania bez tokenu dostępu w nagłówku.
Weryfikowanie tokenów dostępu
Jeśli nie używasz aplikacji internetowej lub funkcji platformy Azure, możesz również zweryfikować token.
Token w nagłówku Authorization
jest tokenem dostępu Platforma tożsamości Microsoft.
Aby zweryfikować tokeny dostępu, aplikacja powinna również zweryfikować odbiorców i tokeny podpisywania. Te tokeny należy zweryfikować względem wartości w dokumencie odnajdywania OpenID. Aby zapoznać się z przykładem, zobacz niezależną od dzierżawy wersję dokumentu.
Oprogramowanie pośredniczące Microsoft Entra ma wbudowane funkcje sprawdzania poprawności tokenów dostępu. Możesz przeglądać przykłady kodu Platforma tożsamości Microsoft, aby znaleźć je w wybranym języku.
Dostępne są biblioteki i przykłady kodu, które pokazują, jak obsługiwać walidację tokenu. Kilka bibliotek partnerów typu open source jest również dostępnych do weryfikacji tokenu internetowego JSON (JWT). Istnieje co najmniej jedna opcja dla prawie każdej platformy i języka. Aby uzyskać więcej informacji na temat bibliotek uwierzytelniania entra firmy Microsoft i przykładów kodu, zobacz Platforma tożsamości Microsoft bibliotek uwierzytelniania.
Używanie tożsamości zarządzanej dla dokumentacji usługi Key Vault
Usługa Azure SignalR Service może uzyskać dostęp do usługi Key Vault, aby uzyskać wpisy tajne przy użyciu tożsamości zarządzanej.
- Dodaj tożsamość przypisaną przez system lub tożsamość przypisaną przez użytkownika do wystąpienia usługi Azure SignalR Service.
- Udziel uprawnień do odczytu wpisu tajnego dla tożsamości zarządzanej w zasadach dostępu w usłudze Key Vault. Zobacz Przypisywanie zasad dostępu usługi Key Vault przy użyciu witryny Azure Portal.
Obecnie tej funkcji można używać do odwołowywania się do wpisu tajnego we wzorcu nadrzędnego adresu URL.