Włączanie uwierzytelniania i autoryzacji w usłudze Azure Container Apps za pomocą niestandardowego dostawcy openID Connect
W tym artykule pokazano, jak skonfigurować usługę Azure Container Apps do używania niestandardowego dostawcy uwierzytelniania zgodnego ze specyfikacją openID Connect. OpenID Connect (OIDC) to branżowy standard powszechnie stosowany przez wielu dostawców tożsamości (IDP). Nie musisz rozumieć szczegółów specyfikacji, aby skonfigurować aplikację tak, aby korzystała z zgodnego dostawcy tożsamości.
Możesz skonfigurować aplikację tak, aby korzystała z co najmniej jednego dostawcy OIDC. Każda z nich musi mieć unikatową nazwę alfanumeryczną w konfiguracji, a tylko jedna z nich może służyć jako domyślny element docelowy przekierowania.
Rejestrowanie aplikacji u dostawcy tożsamości
Dostawca wymaga zarejestrowania w nim szczegółów aplikacji. Jednym z tych kroków jest określenie identyfikatora URI przekierowania. Ten identyfikator URI przekierowania ma postać <app-url>/.auth/login/<provider-name>/callback
. Każdy dostawca tożsamości powinien podać więcej instrukcji dotyczących wykonywania tych kroków.
Uwaga
Niektórzy dostawcy mogą wymagać dodatkowych kroków dotyczących konfiguracji i sposobu używania podanych przez nich wartości. Na przykład firma Apple udostępnia klucz prywatny, który nie jest używany jako klucz tajny klienta OIDC, a zamiast tego należy użyć go do utworzenia zestawu JWT, który jest traktowany jako wpis tajny, który jest traktowany jako wpis tajny w konfiguracji aplikacji (zobacz sekcję "Tworzenie klucza tajnego klienta" w dokumentacji logowania za pomocą firmy Apple)
Musisz zebrać identyfikator klienta i klucz tajny klienta dla aplikacji.
Ważne
Wpis tajny klienta to krytyczne poświadczenia zabezpieczeń. Nie udostępniaj tego wpisu tajnego nikomu ani nie rozpowszechniaj go w aplikacji klienckiej.
Ponadto potrzebne są metadane openID Connect dla dostawcy. Te informacje są często udostępniane za pośrednictwem dokumentu metadanych konfiguracji, który jest sufiksem adresu URL wystawcy dostawcy z sufiksem /.well-known/openid-configuration
. Pamiętaj, aby zebrać ten adres URL konfiguracji.
Jeśli nie możesz użyć dokumentu metadanych konfiguracji, musisz zebrać następujące wartości oddzielnie:
- Adres URL wystawcy (czasami wyświetlany jako
issuer
) - Punkt końcowy autoryzacji OAuth 2.0 (czasami wyświetlany jako
authorization_endpoint
) - Punkt końcowy tokenu OAuth 2.0 (czasami wyświetlany jako
token_endpoint
) - Adres URL dokumentu zestawu kluczy sieci Web OAuth 2.0 JSON (czasami wyświetlany jako
jwks_uri
)
Dodawanie informacji o dostawcy do aplikacji
Zaloguj się do witryny Azure Portal i przejdź do aplikacji.
Wybierz pozycję Uwierzytelnianie w menu po lewej stronie. Wybierz pozycję Dodaj dostawcę tożsamości.
Wybierz pozycję OpenID Connect z listy rozwijanej dostawca tożsamości.
Podaj unikatową nazwę alfanumeryczną wybraną wcześniej dla nazwy dostawcy OpenID.
Jeśli masz adres URL dokumentu metadanych od dostawcy tożsamości, podaj wartość adresu URL metadanych. W przeciwnym razie wybierz opcję Podaj punkty końcowe oddzielnie i umieść każdy adres URL zebrany z dostawcy tożsamości w odpowiednim polu.
Podaj wcześniej zebrany identyfikator klienta i klucz tajny klienta w odpowiednich polach.
Określ nazwę ustawienia aplikacji dla wpisu tajnego klienta. Wpis tajny klienta jest przechowywany jako wpis tajny w aplikacji kontenera.
Naciśnij przycisk Dodaj, aby zakończyć konfigurowanie dostawcy tożsamości.
Praca z uwierzytelnionymi użytkownikami
Skorzystaj z poniższych przewodników, aby uzyskać szczegółowe informacje na temat pracy z uwierzytelnionymi użytkownikami.
- Dostosowywanie logowania i wylogowywanie
- Uzyskiwanie dostępu do oświadczeń użytkowników w kodzie aplikacji