Spravované identity pro službu Azure Web PubSub

  • Článek

V tomto článku se dozvíte, jak vytvořit spravovanou identitu pro službu Azure Web PubSub a jak ji používat.

Důležité

Služba Azure Web PubSub podporuje pouze jednu spravovanou identitu. To znamená, že můžete přidat identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

Přidání identity přiřazené systémem

Pokud chcete nastavit spravovanou identitu na webu Azure Portal, nejprve vytvoříte instanci služby Azure Web PubSub a pak tuto funkci povolíte.

  1. Na portálu vytvořte instanci služby Azure Web PubSub, jak byste normálně měli. Přejděte na něj na portálu.

  2. Vyberte Identitu.

  3. Na kartě Přiřazený systém přepněte stav na Zapnuto. Zvolte Uložit.

    Add a system-assigned identity in the portal

Přidání identity přiřazené uživatelem

Vytvoření instance služby Azure Web PubSub s identitou přiřazenou uživatelem vyžaduje, abyste identitu vytvořili a pak do své služby přidali její identifikátor prostředku.

  1. Podle těchto pokynů vytvořte prostředek spravované identity přiřazené uživatelem.

  2. Na portálu vytvořte instanci služby Azure Web PubSub, jak byste normálně měli. Přejděte na něj na portálu.

  3. Vyberte Identitu.

  4. Na kartě Přiřazený uživatel vyberte Přidat.

  5. Vyhledejte identitu, kterou jste vytvořili dříve, a vyberte ji. Vyberte Přidat.

    Add a user-assigned identity in the portal

Použití spravované identity ve scénářích událostí klienta

Služba Azure Web PubSub je plně spravovaná služba, takže nemůžete použít spravovanou identitu k ručnímu získání tokenů. Místo toho, když služba Azure Web PubSub odesílá události obslužné rutině události, použije spravovanou identitu k získání přístupového tokenu. Služba pak nastaví přístupový token do Authorization hlavičky v požadavku HTTP.

Povolení ověřování spravovaných identit v nastavení obslužné rutiny událostí

  1. Přidejte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

  2. Přejděte do konfigurace Nastavení centra a přidejte nebo upravte upstream obslužné rutiny události.

    msi-setting

  3. V části Ověřování vyberte Použít ověřování a zaškrtněte políčko Zadat vystavenou cílovou skupinu tokenů. Cílová skupina se stane aud deklarací identity v získaném přístupovém tokenu, který lze použít jako součást ověření v obslužné rutině události. Můžete zvolit jednu z následujících možností:

    • Vyberte z existujících aplikací Microsoft Entra. Použije se ID aplikace, které zvolíte.
    • Identifikátor URI ID aplikace instančního objektu.

    Důležité

    Použití prázdného prostředku k získání cílů tokenů do Microsoft Graphu V současné chvíli microsoft Graph umožňuje šifrování tokenů, aby aplikace nemohla ověřit token jiný než Microsoft Graph. V běžné praxi byste měli vždy vytvořit instanční objekt, který bude představovat váš upstreamový cíl. A nastavte ID aplikace nebo identifikátor URI ID aplikace instančního objektu, který jste vytvořili.

Ověřování v aplikaci funkcí

Ověření přístupu pro aplikaci funkcí můžete snadno nastavit bez změn kódu pomocí webu Azure Portal:

  1. Na webu Azure Portal přejděte do aplikace funkcí.

  2. Zvolte Ověřování z nabídky příkazů.

  3. Vyberte Přidat zprostředkovatele identity.

  4. Na kartě Základy v rozevíracím seznamu zprostředkovatele identity vyberte Microsoft.

  5. V akci, která se má provést, když požadavek není ověřený, vyberte Přihlásit se pomocí ID Microsoft Entra.

  6. Ve výchozím nastavení je vybraná možnost vytvořit novou registraci. Můžete změnit název registrace. Další informace o povolení poskytovatele Microsoft Entra najdete v tématu Konfigurace vaší služby App Service nebo aplikace Azure Functions tak, aby používala přihlášení k Microsoft Entra ID.

    Screenshot that shows basic information for adding an identity provider.

  7. Přejděte do služby Azure SignalR a podle pokynů přidejte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

  8. Ve službě Azure SignalR přejděte do upstreamového nastavení a pak vyberte Použít spravovanou identitu a vybrat z existujících aplikací. Vyberte aplikaci, kterou jste vytvořili dříve.

Po nakonfigurování těchto nastavení aplikace funkcí odmítne žádosti bez přístupového tokenu v hlavičce.

Ověření přístupových tokenů

Pokud nepoužíváte webovou aplikaci nebo funkci Azure Functions, můžete token také ověřit.

Token v Authorization hlavičce je přístupový token Microsoft Identity Platform.

Pokud chcete ověřit přístupové tokeny, měla by vaše aplikace také ověřit cílovou skupinu a podpisové tokeny. Tyto hodnoty je potřeba ověřit podle hodnot v dokumentu zjišťování OpenID. Podívejte se například na verzi dokumentu nezávislou na tenantovi.

Middleware Microsoft Entra má integrované funkce pro ověřování přístupových tokenů. Můžete si projít naše ukázky a najít ho v jazyce podle vašeho výběru.

Poskytujeme knihovny a ukázky kódu, které ukazují, jak zpracovávat ověřování tokenů. Pro ověřování webového tokenu JSON (JWT) je k dispozici také několik opensourcových partnerských knihoven. Existuje alespoň jedna možnost pro téměř každou platformu a jazyk venku. Další informace o autorizačních knihovnách Microsoft Entra a ukázkách kódu najdete v tématu Knihovny ověřování platformy Microsoft Identity Platform.

Speciálně, pokud hostitelé obslužné rutiny událostí ve službě Azure Functions nebo Web Apps, je snadný způsob konfigurace přihlášení Microsoft Entra.

Použití spravované identity pro referenční informace ke službě Key Vault

Služba Web PubSub má přístup ke službě Key Vault, aby získala tajný kód pomocí spravované identity.

  1. Přidejte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem pro službu Azure Web PubSub.

  2. Udělte oprávnění ke čtení tajných kódů pro spravovanou identitu v zásadách přístupu ve službě Key Vault. Viz Přiřazení zásad přístupu ke službě Key Vault pomocí webu Azure Portal

V současné době lze tuto funkci použít v následujících scénářích:

  • Pomocí syntaxe {@Microsoft.KeyVault(SecretUri=<secret-identity>)} můžete získat tajné kódy ze služby KeyVault v nastavení šablony adresy URL obslužné rutiny události.

Další kroky