开始在 Azure 上进行用户身份验证

Microsoft 标识平台允许 JavaScript 开发人员在浏览器、服务器或无服务器应用程序中对用户标识进行身份验证和授权。

1. 创建建应用注册

使用 Microsoft 标识进行身份验证需要 Active Directory 应用注册。

简单的无代码身份验证

轻松验证是一种无代码身份验证途径，表示由托管环境管理应用的身份验证。

1. 创建托管资源，例如 Azure Web 应用或 Azure 函数应用。
2. 通过将身份验证添加到托管资源来启用轻松验证。 该过程将创建应用注册。
3. 如果只需使用身份验证作为应用的准入门槛，则你已完成操作。 如果应用需要代表用户或服务访问其他资源，请继续进行 MSAL 集成。

自定义 SDK 身份验证

在创建应用注册之前，请根据预期用户确定任务。

用户	选择
Everyone（社交、公开、专用和外部标识）	Azure Active Directory B2C * 创建一个新租户来保存 Active Directory。 * 创建应用注册。
仅限 Microsoft 标识 Microsoft 租户或个人 Microsoft 帐户中的用户	Microsoft Entra ID * 选择要在其中创建应用注册的租户。 * 创建应用注册。

2. 收集 MSAL 集成的应用注册信息

若要集成用户身份验证以代表用户访问 Azure 资源，则需要应用注册信息。

从 Azure 门户收集应用注册所需的信息，以配置 MSAL SDK：

• 应用程序（客户端）ID
• 目录（租户）ID
• 客户端密码

3. 查找适用于你的方案的 MSAL 示例

开始使用 MSAL SDK 最快的方法就是找到你的方案，然后找到与方案相关的框架和示例。

Top JS 示例包括：

• GitHub 教程：使用 MSAL 集成将 React/API 部署到静态 Web 应用
• GitHub 教程：通过 Microsoft 标识平台，使 Node.js Web 应用能够登录用户和调用 API

4. 与 DefaultAzureCredential 集成

配置运行时环境，使代码可以代表用户或系统使用 DefaultAzureCredential。 这样，无需亲自管理凭据，同一代码也可以在本地、暂存和生产环境中运行。

DefaultAzureCredential 的示例：

• 密钥保管库
• Azure 存储

Azure 托管环境

为托管环境配置托管标识。

MSAL SDK 的 DefaultAzureCredential 的值由运行时环境中的托管标识控制。

其他环境

将本地、本地或其他环境配置为使用 环境变量。

MSAL SDK的 DefaultAzureCredential 的值由运行时环境控制。

有用的工具

• 用于检查令牌的 JWT.ms
• 独立的 VS Code 扩展 jwt-decoder
• 适用于@me的 Microsoft Graph REST API

示例

• Microsoft 标识平台代码示例（v2.0 终结点）
• Azure Active Directory B2C 代码示例

后续步骤

• 适用于 JavaScript (MSAL.js) 的 GitHub Microsoft 身份验证库 - 包括许多示例
• JS：向 Web 应用添加便捷身份验证
• JS：将使用 Microsoft 身份验证 (MSAL) 的 Express.js 部署到 Azure 应用服务