Ověřování a autorizace pro Azure Static Web Apps

Článek
10/14/2021
6 min ke čtení

Azure Static Web Apps poskytuje zjednodušené prostředí ověřování. Ve výchozím nastavení máte přístup k řadě předkonfigurovaných zprostředkovatelů nebo k možnosti registrace vlastního poskytovatele.

Každý uživatel se může ověřit u povoleného zprostředkovatele.
Po přihlášení uživatelé ve výchozím nastavení patří anonymous authenticated do rolí a .
Oprávnění uživatelé získají přístup k omezeným trasám podle pravidel definovaných v souborustaticwebapp.config.json.
Uživatelé mají přiřazené vlastní role pomocí integrovaného systému pozvánek.
Funkce rozhraní API může uživatelům při přihlášení přiřadit vlastní role prostřednictvím kódu programu.
Ve výchozím nastavení jsou povoleni všichni zprostředkovatelé ověřování.
- Pokud chcete zprostředkovatele ověřování omezit, zablokujte přístup pomocí vlastního pravidla směrování.
Mezi předem nakonfigurované zprostředkovatele patří:
- Azure Active Directory
- GitHubu
- Twitter

Témata ověřování a autorizace se výrazně překrývají s koncepty směrování, které jsou podrobně uvedeny v průvodci konfigurací aplikace.

Role

Každý uživatel, který přistupuje ke statické webové aplikaci, patří do jedné nebo více rolí. Existují dvě předdefinované role, do které mohou uživatelé patřit:

anonymní: Všichni uživatelé automaticky patří do anonymní role.
authenticated: Všichni uživatelé, kteří jsou přihlášeni, patří do ověřené role.

Kromě předdefinované role můžete uživatelům přiřadit vlastní role a odkazovat na ně v souborustaticwebapp.config.json.

Přidání uživatele do role

Pokud chcete přidat uživatele k roli, vygeneruje se pozvánka, která vám umožní přidružit uživatele ke konkrétním rolím. Role se definují a udržují v souboru staticwebapp.config.json.

Vytvoření pozvánky

Pozvánky jsou specifické pro jednotlivé poskytovatele autorizace, proto při výběru poskytovatelů, které chcete podporovat, zvažte potřeby vaší aplikace. Někteří poskytovatelé zpřístupňuje e-mailovou adresu uživatele, zatímco jiní poskytují pouze uživatelské jméno webu.

Zprostředkovatel autorizace	Zpřístupňuje uživatele
Azure Active Directory	e-mailovou adresu
GitHubu	username
Twitter	username

V části Static Web Apps přejděte k prostředku Azure Portal.
V Nastavení klikněte na Správa rolí.
Klikněte na tlačítko Pozvat.
V seznamu možností vyberte zprostředkovatele autorizace.
Do pole Podrobnosti o pozvaným příjemci přidejte buď uživatelské jméno, nebo e-mailovou adresu příjemce.
- Pro GitHub a Twitter zadejte uživatelské jméno. Pro všechny ostatní zadejte e-mailovou adresu příjemce.
V rozevíracím seznamu Doména vyberte doménu statické lokality.
- Doména, kterou vyberete, je doména, která se zobrazí v pozvánce. Pokud máte k lokalitě přidruženou vlastní doménu, budete pravděpodobně chtít zvolit vlastní doménu.
Do pole Role přidejte čárkami oddělený seznam názvů rolí.
Zadejte maximální počet hodin, po které má pozvánka zůstat platná.
- Maximální možný limit je 168 hodin, což je 7 dní.
Klikněte na tlačítko Generate (Vygenerovat).
Zkopírujte odkaz z pole Pozvat odkaz.
E-mailem pošlete odkaz na pozvánku osobě, které udělujete přístup k vaší aplikaci.

Když uživatel klikne na odkaz v pozvánce, zobrazí se výzva k přihlášení pomocí odpovídajícího účtu. Po úspěšném přihlášení je uživatel přidružený k vybraným rolím.

Upozornění

Ujistěte se, že pravidla směrování nejsou v konfliktu s vybranými zprostředkovateli ověřování. Blokování poskytovatele pravidlem trasy by uživatelům zabránilo v přijetí pozvánek.

Aktualizace přiřazení rolí

V části Static Web Apps přejděte k prostředku Azure Portal.
V Nastavení klikněte na Správa rolí.
Klikněte na uživatele v seznamu.
Upravte seznam rolí v poli Role.
Klikněte na tlačítko Aktualizovat.

Odebrání uživatele

V části Static Web Apps přejděte k prostředku Azure Portal.
V Nastavení klikněte na Správa rolí.
Vyhledejte uživatele v seznamu.
Zaškrtněte políčko na řádku uživatele.
Klikněte na tlačítko Odstranit.

Při odebírání uživatele mějte na paměti následující položky:

Odebrání uživatele zruší platnost svých oprávnění.
Šíření po celém světě může trvat několik minut.
Pokud se uživatel přidá zpět do aplikace, změní userId se.

Místo integrovaného systému pozvánek můžete pomocí funkce bez serveru přiřazovat role uživatelům při přihlášení prostřednictvím kódu programu.

Pokud chcete ve funkci přiřadit vlastní role, můžete definovat funkci rozhraní API, která se automaticky volá po každém úspěšném ověření uživatele pomocí zprostředkovatele identity. Funkce se předá informace o uživateli od zprostředkovatele. Musí vrátit seznam vlastních rolí, které jsou přiřazeny uživateli.

Mezi příklady použití této funkce patří:

Určení rolí, které by měl uživatel přiřadit, pomocí dotazu na databázi
Volání rozhraní Microsoft Graph API k určení rolí uživatele na základě členství ve skupinách Active Directory
Určení rolí uživatele na základě deklarací identity vrácených zprostředkovatelem identity

Poznámka

Možnost přiřazovat role prostřednictvím funkce je dostupná jenom v případě, že je nakonfigurované vlastní ověřování.

Pokud je tato funkce povolená, všechny role přiřazené prostřednictvím integrovaného systému pozvánek se ignorují.

Konfigurace funkce pro přiřazování rolí

Pokud chcete Static Web Apps, aby jako funkci přiřazení role bylo možné použít funkci rozhraní API, přidejte vlastnost do oddílu rolesSource auth konfiguračního souboru vaší aplikace. Hodnota vlastnosti rolesSource je cesta k funkci rozhraní API.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

Poznámka

Po nakonfigurování už externí požadavky HTTP nebudou mít k funkci přiřazení role přístup.

Vytvoření funkce pro přiřazování rolí

Po definování vlastnosti v konfiguraci vaší aplikace přidejte do statické webové aplikace funkci rolesSource rozhraní API na zadanou cestu. Můžete použít spravovanou aplikaci funkcí nebo vlastní aplikaci funkcí Bring Your Own.

Pokaždé, když se uživatel úspěšně ověří pomocí zprostředkovatele identity, je volána zadaná funkce. Funkci se předá objekt JSON v textu požadavku, který obsahuje informace o uživateli od zprostředkovatele. U některých zprostředkovatelů identity informace o uživateli zahrnují také , pomocí které může funkce provádět volání rozhraní API pomocí accessToken identity uživatele.

Toto je příklad datové části z Azure Active Directory:

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

Funkce může pomocí informací o uživateli určit, které role se mají uživateli přiřadit. Musí vrátit odpověď HTTP 200 s textem JSON obsahujícím seznam vlastních názvů rolí pro přiřazení uživateli.

Pokud například chcete přiřadit uživatele k rolím Reader a Contributor , vraťte následující odpověď:

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

Pokud uživateli nechcete přiřadit žádné další role, vraťte prázdné roles pole.

Další informace najdete v tématu kurz: přiřazení vlastních rolí s funkcí a Microsoft Graph.

Odebrat osobní identifikační údaje

Když udělujete souhlas aplikaci jako koncový uživatel, aplikace bude mít přístup k vaší e-mailové adrese nebo uživatelskému jménu v závislosti na zprostředkovateli identity. Po zadání těchto informací se vlastník aplikace rozhodne, jak spravovat osobní identifikační údaje.

Koncoví uživatelé potřebují požádat správce jednotlivých webových aplikací, aby tyto informace odvolali ze svých systémů.

Pokud chcete z platformy Azure static Web Apps odebrat osobní identifikační údaje a zabránit tomu, aby tato informace mohla v budoucích požadavcích poskytovat tyto informace, odešlete žádost pomocí adresy URL:

https://identity.azurestaticapps.net/.auth/purge/<AUTHENTICATION_PROVIDER_NAME>

Pokud chcete zabránit tomu, aby platforma poskytovala tyto informace v budoucích požadavcích na jednotlivé aplikace, odešlete žádost na následující adresu URL:

https://<WEB_APP_DOMAIN_NAME>/.auth/purge/<AUTHENTICATION_PROVIDER_NAME>

všimněte si, že pokud používáte Azure Active Directory, použijte aad jako hodnotu pro <AUTHENTICATION_PROVIDER_NAME> zástupný text.

Systémová složka

Statický Web Apps Azure používá /.auth systémovou složku k poskytnutí přístupu k rozhraním API, která se vztahují k autorizaci. Místo vystavení jakékoli trasy ve /.auth složce přímo koncovým uživatelům zvažte vytvoření pravidel směrování pro vytváření popisných adres URL.

Pomocí následující tabulky Najděte trasu specifickou pro poskytovatele.

Zprostředkovatel autorizace	Trasa pro přihlášení
Azure Active Directory	`/.auth/login/aad`
GitHubu	`/.auth/login/github`
Twitter	`/.auth/login/twitter`

například pro přihlášení pomocí GitHub můžete zahrnout odkaz podobný následujícímu fragmentu kódu:

<a href="/.auth/login/github">Login</a>

Pokud se rozhodnete podporovat více než jednoho poskytovatele, musíte pro každý z nich vystavit odkaz na konkrétního poskytovatele.

Pravidlo směrování můžete použít k mapování výchozího poskytovatele na přívětivou trasu, jako je /Login.

{
  "route": "/login",
  "redirect": "/.auth/login/github"
}

Pokud chcete, aby se uživatel po přihlášení vrátil na konkrétní stránku, zadejte v post_login_redirect_uri parametru řetězce dotazu úplnou adresu URL.

Příklad:

<a href="/.auth/login/github?post_login_redirect_uri=https://zealous-water.azurestaticapps.net/success">Login</a>

Odhlásit

/.auth/logoutSměrování zaznamená uživatele z webu. Můžete přidat odkaz na navigaci na webu, aby se uživatel mohl odhlásit, jak je znázorněno v následujícím příkladu.

<a href="/.auth/logout">Log out</a>

Pravidlo směrování můžete použít k mapování popisné trasy, jako je /logout.

{
  "route": "/logout",
  "redirect": "/.auth/logout"
}

Přesměrování po odhlášení

Pokud chcete, aby se uživatel po odhlášení vrátil na konkrétní stránku, zadejte adresu URL v post_logout_redirect_uri parametru řetězce dotazu.

Blokování zprostředkovatele autorizace

Můžete chtít, aby aplikace omezila použití zprostředkovatele autorizace. Například vaše aplikace může chtít standardizovat pouze poskytovatele, kteří zveřejňují e-mailové adresy.

Pokud chcete poskytovatele zablokovat, můžete vytvořit pravidla směrování , která vrátí 404 pro požadavky na trasu určenou pro blokovaného zprostředkovatele. Chcete-li například omezit Twitter jako poskytovatele, přidejte následující pravidlo směrování.

{
  "route": "/.auth/login/twitter",
  "statusCode": 404
}

Omezení

Obecná omezení a omezení najdete v článku věnovaném kvótám .

Další kroky

Přístup k datům o ověřování a autorizaci uživatelů

¹ čeká na externí certifikaci.