المصادقة المخصصة في تطبيقات ويب Azure الثابتة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توفر Azure Static Web Apps مصادقة مدارة تستخدم تسجيلات الموفر التي يديرها Azure. لتمكين المزيد من المرونة على التسجيل، يمكنك تجاوز الإعدادات الافتراضية بتسجيل مخصص.

• تتيح لك المصادقة المخصصة أيضا تكوين موفري خدمات مخصصين يدعمون OpenID الاتصال. يسمح هذا التكوين بتسجيل العديد من مقدمي الخدمات الخارجيين.

• يؤدي استخدام أي تسجيلات مخصصة إلى تعطيل جميع الموفرين الذين تم تكوينهم مسبقا.

ملاحظة

تتوفر المصادقة المخصصة فقط في الخطة القياسية لتطبيقات الويب الثابتة من Azure.

تكوين موفر هوية مخصص

يتم تكوين موفري الهوية المخصصة في auth قسم ملف التكوين.

لتجنب وضع الأسرار في عنصر تحكم المصدر، يبحث التكوين في إعدادات التطبيق بحثا عن اسم مطابق في ملف التكوين. يمكنك أيضا اختيار تخزين أسرارك في Azure Key Vault.

Azure Active Directory

لإنشاء التسجيل، ابدأ بإنشاء إعدادات التطبيق التالية:

اسم الإعداد	القيمة
AZURE_CLIENT_ID	معرف التطبيق (العميل) لتسجيل تطبيق Azure AD.
AZURE_CLIENT_SECRET	سر العميل لتسجيل تطبيق Azure AD.

بعد ذلك، استخدم النموذج التالي لتكوين الموفر في ملف التكوين.

يتوفر موفرو Azure Active Directory في إصدارين مختلفين. يحدد userDetailsClaimالإصدار 1 صراحة ، والذي يسمح للحمولة بإرجاع معلومات المستخدم. على النقيض من ذلك ، يعرض الإصدار 2 معلومات المستخدم افتراضيا ، ويتم تعيينه بواسطة v2.0openIdIssuer عنوان URL.

Azure Active Directory Version 1

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

تأكد من الاستبدال <TENANT_ID> بمعرف مستأجر Azure Active Directory.

Azure Active Directory Version 2

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

تأكد من الاستبدال <TENANT_ID> بمعرف مستأجر Azure Active Directory.

لمزيد من المعلومات حول كيفية تكوين Azure Active Directory، راجع وثائق مصادقة/تخويل خدمة التطبيق حول استخدام تسجيل موجود.

لتكوين الحسابات التي يمكنها تسجيل الدخول، راجع تعديل الحسابات التي يدعمها أحد التطبيقاتوتقييد تطبيق Azure AD لمجموعة من المستخدمين في مستأجر Azure AD.

ملاحظة

في حين أن قسم التكوين الخاص ب Azure Active Directory هو azureActiveDirectory، فإن النظام الأساسي يسلم هذا aad في عنوان URL لتسجيل الدخول وتسجيل الخروج وتطهير معلومات المستخدم. راجع قسم المصادقة والتفويض للحصول على مزيد من المعلومات.

Apple

لإنشاء التسجيل، ابدأ بإنشاء إعدادات التطبيق التالية:

اسم الإعداد	القيمة
APPLE_CLIENT_ID	معرف عميل Apple.
APPLE_CLIENT_SECRET	سر عميل Apple.

بعد ذلك، استخدم النموذج التالي لتكوين الموفر في ملف التكوين.

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET"
        }
      }
    }
  }
}

لمزيد من المعلومات حول كيفية تكوين Apple كموفر مصادقة، راجع وثائق مصادقة/تخويل خدمة التطبيق.

Facebook

لإنشاء التسجيل، ابدأ بإنشاء إعدادات التطبيق التالية:

اسم الإعداد	القيمة
FACEBOOK_APP_ID	معرف تطبيق فيسبوك.
FACEBOOK_APP_SECRET	سر تطبيق فيسبوك.

بعد ذلك، استخدم النموذج التالي لتكوين الموفر في ملف التكوين.

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET"
        }
      }
    }
  }
}

لمزيد من المعلومات حول كيفية تكوين فيسبوك كموفر مصادقة، راجع وثائق مصادقة/تخويل خدمة التطبيق.

GitHub

لإنشاء التسجيل، ابدأ بإنشاء إعدادات التطبيق التالية:

اسم الإعداد	القيمة
GITHUB_CLIENT_ID	معرف العميل GitHub.
GITHUB_CLIENT_SECRET	سر العميل GitHub.

بعد ذلك، استخدم النموذج التالي لتكوين الموفر في ملف التكوين.

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET"
        }
      }
    }
  }
}

Google

لإنشاء التسجيل، ابدأ بإنشاء إعدادات التطبيق التالية:

اسم الإعداد	القيمة
GOOGLE_CLIENT_ID	معرف عميل Google.
GOOGLE_CLIENT_SECRET	سر عميل Google.

بعد ذلك، استخدم النموذج التالي لتكوين الموفر في ملف التكوين.

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET"
        }
      }
    }
  }
}

لمزيد من المعلومات حول كيفية تهيئة Google كموفر مصادقة، راجع وثائق مصادقة/تخويل خدمة التطبيقات.

Twitter

لإنشاء التسجيل، ابدأ بإنشاء إعدادات التطبيق التالية:

اسم الإعداد	القيمة
TWITTER_CONSUMER_KEY	مفتاح المستهلك على تويتر.
TWITTER_CONSUMER_SECRET	سر المستهلك تويتر.

بعد ذلك، استخدم النموذج التالي لتكوين الموفر في ملف التكوين.

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "TWITTER_CONSUMER_KEY",
          "consumerSecretSettingName": "TWITTER_CONSUMER_SECRET"
        }
      }
    }
  }
}

لمزيد من المعلومات حول كيفية تكوين تويتر كموفر مصادقة، راجع وثائق مصادقة/تخويل خدمة التطبيق.

OpenID Connect

يمكنك تكوين تطبيقات ويب Azure الثابتة لاستخدام موفر مصادقة مخصص يلتزم بمواصفات الاتصال OpenID (OIDC). الخطوات التالية مطلوبة لاستخدام موفر OIDC مخصص.

• يسمح بواحد أو أكثر من مزودي OIDC.
• يجب أن يكون لكل موفر اسم فريد في التكوين.
• يمكن لموفر واحد فقط أن يكون بمثابة هدف إعادة التوجيه الافتراضي.

سجل طلبك لدى مزود الهوية

يطلب منك تسجيل تفاصيل طلبك لدى موفر الهوية. تحقق مع الموفر فيما يتعلق بالخطوات اللازمة لإنشاء معرف عميلوسر عميل لتطبيقك.

بمجرد تسجيل التطبيق لدى موفر الهوية، قم بإنشاء أسرار التطبيق التالية في إعدادات التطبيق الخاصة بتطبيق الويب الثابت:

اسم الإعداد	القيمة
MY_PROVIDER_CLIENT_ID	معرف العميل الذي تم إنشاؤه بواسطة موفر المصادقة لتطبيق الويب الثابت الخاص بك.
MY_PROVIDER_CLIENT_SECRET	سر العميل الذي تم إنشاؤه بواسطة التسجيل المخصص لموفر المصادقة لتطبيق الويب الثابت الخاص بك.

إذا قمت بتسجيل موفري خدمات إضافيين، فسيحتاج كل واحد منهم إلى معرف عميل مقترن ومخزن سري للعميل في إعدادات التطبيق.

هام

أسرار التطبيق هي بيانات اعتماد أمنية حساسة. لا تشارك هذا السر مع أي شخص أو توزعه داخل تطبيق عميل أو تحقق من التحكم في المصدر.

بمجرد حصولك على بيانات اعتماد التسجيل، اتبع الخطوات التالية لإنشاء تسجيل مخصص.

1. تحتاج إلى OpenID الاتصال بيانات التعريف للموفر. غالبا ما يتم الكشف عن هذه المعلومات عبر مستند بيانات تعريف التكوين ، وهو عنوان URL الخاص بالمصدر الخاص بالموفر اللاحق ب /.well-known/openid-configuration. اجمع عنوان URL للتكوين هذا.

2. أضف قسما auth من ملف التكوين مع كتلة تكوين لموفري OIDC وتعريف الموفر الخاص بك.

   {
     "auth": {
       "identityProviders": {
         "customOpenIdConnectProviders": {
           "myProvider": {
             "registration": {
               "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
               "clientCredential": {
                 "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET"
               },
               "openIdConnectConfiguration": {
                 "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
               }
             },
             "login": {
               "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
               "scopes": [],
               "loginParameterNames": []
             }
           }
         }
       }
     }
   }
   

• اسم الموفر، في هذا المثال، myProvider هو المعرف الفريد المستخدم بواسطة Azure Static Web Apps.
• تأكد من الاستبدال <PROVIDER_ISSUER_URL> بالمسار إلى عنوان URL لجهة الإصدار الخاصة بالموفر.
• يسمح لك الكائن login بتوفير قيم ل: نطاقات مخصصة أو معلمات تسجيل الدخول أو مطالبات مخصصة.

عمليات رد الاتصال بالمصادقة

يتطلب موفرو الهوية عنوان URL لإعادة التوجيه لإكمال طلب تسجيل الدخول أو تسجيل الخروج. يطلب معظم موفري الخدمات إضافة عناوين URL لمعاودة الاتصال إلى قائمة مسموح بها. تتوفر نقاط النهاية التالية كوجهات لإعادة التوجيه.

النوع	نمط عنوان URL
تسجيل الدخول	https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback
تسجيل الخروج	https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback

إذا كنت تستخدم Azure Active Directory، فاستخدم aad كقيمة للعنصر النائب <PROVIDER_NAME_IN_CONFIG> .

ملاحظة

يتم توفير عناوين URL هذه بواسطة Azure Static Web Apps لتلقي الاستجابة من موفر المصادقة، ولا تحتاج إلى إنشاء صفحات على هذه المسارات.

تسجيل الدخول وتسجيل الخروج وتفاصيل المستخدم

لاستخدام موفر هوية مخصص، استخدم أنماط عناوين URL التالية.

إجراء	نمط
تسجيل الدخول	/.auth/login/<PROVIDER_NAME_IN_CONFIG>
تسجيل الخروج	/.auth/logout
تفاصيل المستخدم	/.auth/me
إزالة تفاصيل المستخدم	/.auth/purge/<PROVIDER_NAME_IN_CONFIG>

إذا كنت تستخدم Azure Active Directory، فاستخدم aad كقيمة للعنصر النائب <PROVIDER_NAME_IN_CONFIG> .

الخطوات التالية

تعيين أدوار المستخدم برمجيًّا