добавлению проверки подлинности в веб-приложение, работающее в Службе приложений Azure
Узнайте, как включить проверку подлинности в веб-приложении, работающем в Службе приложений Azure, и ограничить доступ для пользователей в организации.
Служба приложений обеспечивает встроенную поддержку проверки подлинности, поэтому вы можете войти в систему пользователей и получить доступ к данным, написав минимальный или нет кода в веб-приложении. Использование модуля проверки подлинности Служба приложений не требуется, но помогает упростить проверку подлинности и приложение. В этой статье показано, как защитить веб-приложение с помощью модуля проверки подлинности Служба приложений с помощью идентификатора Microsoft Entra в качестве поставщика удостоверений.
Модуль проверки подлинности включен и настроен с помощью параметров портал Azure и приложения. Пакеты SDK, определенные языки или изменения кода приложения не требуются. Поддерживаются различные поставщики удостоверений, включая идентификатор Microsoft Entra, учетную запись Майкрософт, Facebook, Google и X. Если модуль проверки подлинности включен, каждый входящий HTTP-запрос проходит через него перед обработкой кодом приложения. Дополнительные сведения см. в статье "Проверка подлинности и авторизация" в службе приложение Azure.
В этом руководстве описано следующее:
- настроить проверку подлинности для веб-приложения;
- ограничить доступ к веб-приложению для пользователей в организации.
Необходимые компоненты
Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.
Создание и публикация веб-приложения в Службе приложений
Для работы с этим учебником потребуется развернуть веб-приложение в Службе приложений. Вы можете использовать существующее веб-приложение или создать и опубликовать веб-приложение в Службе приложений, выполнив инструкции из одного из кратких руководств для ASP.NET Core, Node.js, Python или Java.
При создании нового приложения или использовании существующего запишите следующие данные:
- имя веб-приложения;
- имя группы ресурсов, в которую развертывается веб-приложение.
Эти имена вам понадобятся при дальнейшей работе с этим учебником.
Настройка проверки подлинности
Теперь у вас есть веб-приложение, работающее в Службе приложений. Затем включите проверку подлинности для веб-приложения. Идентификатор Microsoft Entra используется в качестве поставщика удостоверений. Дополнительные сведения см. в разделе "Настройка проверки подлинности Microsoft Entra" для приложения Служба приложений.
В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт.
В разделе Группы ресурсов найдите и выберите свою группу ресурсов. В разделе Обзор выберите страницу управления приложения.
В меню слева в приложении выберите Проверка подлинности и щелкните Добавить поставщик удостоверений.
На странице "Добавление поставщика удостоверений" выберите Корпорацию Майкрософт в качестве поставщика удостоверений для входа в удостоверения Майкрософт и Microsoft Entra.
Для типа клиента выберите "Рабочая сила".
В разделе Регистрация приложения>Тип регистрации приложения выберите Создание регистрации приложения.
В разделе Регистрация приложения>Поддерживаемые типы учетных записей выберите Текущий клиент — один клиент.
В разделе Параметры проверки подлинности службы приложений оставьте для параметра Проверка подлинности значение Требуется проверка подлинности, а для параметра Запросы без проверки подлинности — значение Перенаправление HTTP 302 Found: рекомендуется для веб-сайтов.
В нижней части страницы Добавление поставщика удостоверений нажмите кнопку Добавить, чтобы включить проверку подлинности для веб-приложения.
Теперь у вас есть приложение, защищенное проверкой подлинности Служба приложений.
Примечание.
Чтобы разрешить доступ учетным записям от других клиентов, измените "URL-адрес издателя" на "https://login.microsoftonline.com/common/v2.0" путем изменения поставщика удостоверений в колонке "Проверка подлинности".
Проверка ограниченного доступа к веб-приложению
Когда вы включили модуль проверки подлинности Служба приложений, регистрация приложения была создана в клиенте Microsoft Entra. Регистрация приложения имеет то же отображаемое имя, что и веб-приложение. Чтобы проверить параметры, войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений и перейдите к приложениям> удостоверений>Регистрация приложений. Выберите созданную регистрацию приложения. На странице обзора убедитесь, что для параметра Поддерживаемые типы учетных записей задано значение Только моя организация.
Чтобы убедиться, что для пользователей вашей организации ограничен доступ к приложению, запустите браузер в режиме инкогнито или частном режиме и перейдите по адресу https://<app-name>.azurewebsites.net. Вы должны быть перенаправлены на защищенную страницу входа. Это доказывает, что пользователи, которые не прошли проверку подлинности, не имеют доступа к сайту. Войдите в систему как пользователь организации, чтобы получить доступ к сайту. Вы также можете открыть новый браузер и попытаться войти с помощью личной учетной записи, чтобы убедиться, что у пользователей за пределами организации нет доступа.
Очистка ресурсов
Если вы завершили работу с этим учебником и вам больше не требуется веб-приложение или связанные с ним ресурсы, необходимо очистить созданные ресурсы.