Tutorial: Hinzufügen der App-Authentifizierung zu Ihrer Web-App in Azure App Service

Hier erfahren Sie, wie Sie die Authentifizierung für Ihre in Azure App Service ausgeführte Web-App aktivieren und den Zugriff auf die Benutzer in Ihrer Organisation beschränken.

In diesem Tutorial lernen Sie Folgendes:

  • Konfigurieren der Authentifizierung für die Web-App
  • Beschränken Sie den Zugriff auf die Web-App auf Benutzer in Ihrer Organisation, indem Sie Azure Active Directory (Azure AD) als Identitätsanbieter verwenden.

Automatische Authentifizierung, bereitgestellt von App Service

App Service stellt integrierte Authentifizierungs- und Autorisierungsunterstützung bereit, sodass Sie Benutzer ohne Code in Ihrer Web-App anmelden können. Die Verwendung des optionalen App Service-Moduls für die Authentifizierung/Autorisierung vereinfacht die Authentifizierung und Autorisierung für Ihre App. Wenn Sie für die benutzerdefinierte Authentifizierung und Autorisierung bereit sind, bauen Sie auf dieser Architektur auf.

App Service-Authentifizierung bietet:

  • Einfaches Aktivieren und Konfigurieren über das Azure-Portal und mit App-Einstellungen.
  • Weder SDKs noch bestimmte Sprachen oder Änderungen am Anwendungscode sind erforderlich.​
  • Mehrere Identitätsanbieter werden unterstützt:
    • Azure AD
    • Microsoft-Konto
    • Facebook
    • Google
    • Twitter

Wenn das Modul für die Authentifizierung/Autorisierung aktiviert ist, wird es von allen eingehenden HTTP-Anforderungen durchlaufen, bevor diese von Ihrem App-Code verarbeitet werden. Weitere Informationen finden Sie unter Authentifizierung und Autorisierung in Azure App Service.

Herstellen einer Verbindung mit Back-End-Diensten als App

Die Benutzerauthentifizierung kann mit der Authentifizierung des Benutzers bei Ihrem App Service beginnen, wie im vorherigen Abschnitt beschrieben.

Diagram that shows user sign-in.

Sobald der App Service über die authentifizierte Identität verfügt, muss Ihr System eine Verbindung mit Back-End-Diensten als App herstellen:

  • Verwenden Sie verwaltete Identität. Wenn verwaltete Identität nicht verfügbar ist, verwenden Sie Key Vault.

  • Die Benutzeridentität muss nicht weiter fließen. Alle zusätzlichen Sicherheitsmaßnahmen zum Erreichen von Back-End-Diensten werden mit der Identität des App Service behandelt.

1. Voraussetzungen

Sollten Sie über kein Azure-Abonnement verfügen, können Sie zunächst ein kostenloses Azure-Konto erstellen.

2. Erstellen und Veröffentlichen einer Web-App in App Service

Für dieses Tutorial benötigen Sie eine in App Service bereitgestellte Web-App. Sie können eine vorhandene Web-App verwenden oder eine der Schnellstartanleitungen befolgen, um eine neue Web-App für App Service zu erstellen und zu veröffentlichen:

Egal, ob Sie eine vorhandene Web-App verwenden oder eine neu erstellen, beachten Sie Folgendes:

  • Name der Web-App.
  • Ressourcengruppe, in der die Web-App bereitgestellt wird.

Sie benötigen diese Namen in diesem Tutorial.

3. Konfigurieren der Authentifizierung und Autorisierung

Nachdem Sie nun über eine Web-App verfügen, die in App Service ausgeführt wird, aktivieren Sie die Authentifizierung und Autorisierung. Als Identitätsanbieter wird Azure AD verwendet. Weitere Informationen finden Sie unter Konfigurieren Ihrer App Service- oder Azure Functions-App zur Verwendung der Azure AD-Anmeldung.

  1. Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option aus.

  2. Navigieren Sie in Ressourcengruppen zu Ihrer Ressourcengruppe, und wählen Sie sie aus. Wählen Sie unter Übersicht die Verwaltungsseite Ihrer App aus.

    Screenshot that shows selecting your app's management page.

  3. Wählen Sie im linken Menü der APP Authentifizierungaus, und klicken Sie dann auf Identitäts Anbieter hinzufügen.

  4. Wählen Sie auf der Seite Identitäts Anbieter hinzufügen die OptionMicrosoft als Identitäts Anbieter aus, um Microsoft-und Azure AD Identitäten anzumelden.

  5. Wählen Sie für AppRegistration App Registration >Typedie Option Create New App Registrationaus.

  6. Wählen Sie für die App-Registrierung>unterstützte Konto Typendie Option Aktueller Mandant-einzelnerMandant aus.

  7. Belassen Sie im Abschnitt "Einstellungen für die App Service Authentifizierung " die Einstellung Authentifizierungerforderlich, und nicht authentifizierte Anforderungen auf HTTP 302-Umleitung finden: empfohlen für Websites.

  8. Klicken Sie am unteren Rand der Seite Identitäts Anbieter hinzufügen auf Hinzufügen, um die Authentifizierung für Ihre Web-App zu aktivieren.

    Screenshot that shows configuring authentication.

    Sie verfügen nun über eine App, die per App Service-Authentifizierung und -Autorisierung geschützt ist.

    Hinweis

    Wenn Sie Konten von anderen Mandanten zulassen möchten, ändern Sie die ‚Aussteller-URL‘ in ‚ https://login.microsoftonline.com/common/v2.0 ‘, indem Sie auf dem Blatt ‚Authentifizierung‘ Ihren ‚Identitätsanbieter‘ bearbeiten.

4. Überprüfen des beschränkten Zugriffs auf die Web-App

Im Zuge der Aktivierung des App Service-Moduls für die Authentifizierung/Autorisierung im vorherigen Abschnitt wurde in Ihrem Azure AD-Mandanten eine App-Registrierung erstellt. Die App-Registrierung hat den gleichen Anzeigenamen wie Ihre Web-App.

  1. Wählen Sie zum Überprüfen der Einstellungen im Portalmenü die Option Azure Active Directory und anschließend App-Registrierungen aus.

  2. Wählen Sie die App-Registrierung aus, die erstellt wurde.

  3. Überprüfen Sie in der Übersicht, ob Unterstützte Kontotypen auf Nur meine Organisation festgelegt ist.

    Screenshot that shows verifying access.

  4. Starten Sie einen Browser im Inkognito- oder InPrivate-Modus, und navigieren Sie zu https://<app-name>.azurewebsites.net, um zu überprüfen, ob der Zugriff auf Ihre App auf die Benutzer Ihrer Organisation beschränkt ist.

  5. Sie sollten zu einer geschützten Anmeldeseite weitergeleitet werden. Ist dies der Fall, haben nicht authentifizierte Benutzer keinen Zugriff auf die Website.

  6. Melden Sie sich als Benutzer Ihrer Organisation an, um Zugriff auf die Website zu erhalten. Sie können auch einen neuen Browser starten und versuchen, sich mit einem persönlichen Konto anzumelden, um sich zu vergewissern, dass externe Benutzer keinen Zugriff haben.

5. Bereinigen von Ressourcen

Wenn Sie alle Schritte in diesem mehrteiligen Tutorial ausgeführt haben, haben Sie einen App-Dienst, einen App Service-Hostingplan und ein Speicherkonto in einer Ressourcengruppe erstellt. Außerdem haben Sie eine App-Registrierung in Azure Active Directory erstellt. Wenn Sie diese Ressourcen nicht mehr benötigen, löschen Sie diese und die App-Registrierung, sodass keine Gebühren mehr anfallen.

In diesem Tutorial lernen Sie Folgendes:

  • Löschen der Azure-Ressourcen, die im Rahmen des Tutorials erstellt wurden

Löschen der Ressourcengruppe

Wählen Sie im Azure-Portal im Portalmenü die Option Ressourcengruppen und dann die Ressourcengruppe aus, die Ihren App-Dienst und den App Service-Plan enthält.

Wählen Sie Ressourcengruppe löschen aus, um die Ressourcengruppe und alle Ressourcen zu löschen.

Screenshot that shows deleting the resource group.

Die Ausführung dieses Befehls kann mehrere Minuten dauern.

Löschen der App-Registrierung

Wählen Sie im Menü des Portals Azure Active DirectoryApp-Registrierungen aus. Wählen Sie anschließend die von Ihnen erstellte Anwendung aus. Screenshot that shows selecting app registration.

Wählen Sie in der Übersicht der App-Registrierungen die Option Löschen aus. Screenshot that shows deleting the app registration.

Nächste Schritte

In diesem Tutorial haben Sie gelernt, wie die folgenden Aufgaben ausgeführt werden:

  • Konfigurieren der Authentifizierung für die Web-App
  • Beschränken des Web-App-Zugriffs auf Benutzer in Ihrer Organisation