Konfigurieren Ihrer App Service-App zur Verwendung der Azure AD-AnmeldungConfigure your App Service app to use Azure AD login

In diesem Artikel wird gezeigt, wie Sie Azure App Service so konfigurieren, dass Azure Active Directory (Azure AD) als Authentifizierungsanbieter verwendet wird.This article shows you how to configure Azure App Service to use Azure Active Directory (Azure AD) as an authentication provider.

Hinweis

Derzeit werden Azure App Service und Azure Functions nur von Azure AD v1.0 unterstützt.At this time, Azure App Service and Azure Functions are only supported by Azure AD v1.0. Sie werden von der Microsoft Identity Platform v2.0, die Microsoft Authentication Librarys (MSAL) enthält, nicht unterstützt.They're not supported by the Microsoft identity platform v2.0, which includes Microsoft Authentication Libraries (MSAL).

Befolgen Sie diese bewährten Methoden, wenn Sie Ihre App und die Authentifizierung einrichten:Follow these best practices when setting up your app and authentication:

  • Erteilen Sie jeder App Service-App eigene Berechtigungen und Einwilligung.Give each App Service app its own permissions and consent.
  • Konfigurieren Sie jede App Service-App mit eigener Registrierung.Configure each App Service app with its own registration.
  • Vermeiden Sie das Teilen von Berechtigungen zwischen Umgebungen, indem Sie separate App-Registrierungen für gesonderte Bereitstellungsslots verwenden.Avoid permission sharing between environments by using separate app registrations for separate deployment slots. Wenn Sie neuen Code testen, kann diese Vorgehensweise dabei helfen, Probleme zu verhindern, die sich auf die Produktions-App auswirken können.When testing new code, this practice can help prevent issues from affecting the production app.

Konfigurieren mit Expresseinstellungen Configure with express settings

  1. Wechseln Sie im Azure-Portal zu Ihrer App Service-App.In the Azure portal, go to your App Service app.

  2. Wählen Sie im linken Bereich Einstellungen > Authentifizierung/Autorisierung, aus, und stellen Sie sicher, dass für die App Service-Authentifizierung die Option Ein festgelegt ist.Select Settings > Authentication / Authorization in the left pane, and make sure that App Service Authentication is On.

  3. Wählen Sie Azure Active Directory und dann unter Verwaltungsmodus die Option Express.Select Azure Active Directory, and then select Express under Management Mode.

  4. Klicken Sie auf OK, um die App Service-App in Azure Active Directory zu registrieren.Select OK to register the App Service app in Azure Active Directory. Eine neue App-Registrierung wird erstellt.A new app registration is created.

    Wenn Sie stattdessen eine vorhandene App-Registrierung auswählen möchten:If you want to choose an existing app registration instead:

    1. Wählen Sie Vorhandene App auswählen aus, und suchen Sie nach dem Namen einer zuvor erstellten App-Registrierung in Ihrem Mandanten.Choose Select an existing app and then search for the name of a previously created app registration within your tenant.
    2. Wählen Sie die App-Registrierung aus, und wählen Sie dann OK aus.Select the app registration and then select OK.
    3. Wählen Sie dann auf der Seite „Azure Active Directory-Einstellungen“ OK aus.Then select OK on the Azure Active Directory settings page.

    Standardmäßig erfolgt die Authentifizierung über App Service, wobei jedoch der Zugriff auf die Inhalte Ihrer Website und APIs nicht autorisiert wird.By default, App Service provides authentication but doesn't restrict authorized access to your site content and APIs. Sie müssen die Benutzer in Ihrem App-Code autorisieren.You must authorize users in your app code.

  5. (Optional) Um den Zugriff auf Ihre App ausschließlich auf Benutzer zu beschränken, die von Azure Active Directory authentifiziert werden, legen Sie Die auszuführende Aktion, wenn die Anforderung nicht authentifiziert ist auf Mit Azure Active Directory anmelden fest.(Optional) To restrict app access only to users authenticated by Azure Active Directory, set Action to take when request is not authenticated to Log in with Azure Active Directory. Wenn Sie diese Funktion festlegen, erfordert Ihre App, dass alle Anforderungen authentifiziert werden.When you set this functionality, your app requires all requests to be authenticated. Sie leitet außerdem alle nicht authentifizierten Anforderungen zur Authentifizierung an Azure Active Directory um.It also redirects all unauthenticated to Azure Active Directory for authentication.

    Achtung

    Das Einschränken des Zugriffs auf diese Weise gilt für alle Aufrufe Ihrer App, was für Apps, die eine öffentlich verfügbare Startseite haben, eventuell nicht wünschenswert ist, wie bei vielen Single-Page-Anwendungen.Restricting access in this way applies to all calls to your app, which might not be desirable for apps that have a publicly available home page, as in many single-page applications. Bei solchen Anwendungen ist möglicherweise die Einstellung Anonyme Anforderungen zulassen (keine Aktion) vorzuziehen, wobei die App selbst die Anmeldung manuell startet.For such applications, Allow anonymous requests (no action) might be preferred, with the app manually starting login itself. Weitere Informationen finden Sie unter Authentifizierungsflow.For more information, see Authentication flow.

  6. Wählen Sie Speichern aus.Select Save.

Konfigurieren mit erweiterten Einstellungen Configure with advanced settings

Sie können App-Einstellungen manuell konfigurieren, wenn Sie einen Azure AD-Mandanten verwenden möchten, der sich von dem unterscheidet, den Sie für die Anmeldung bei Azure verwenden.You can configure app settings manually if you want to use an Azure AD tenant that's different from the one you use to sign in to Azure. Um diese benutzerdefinierte Konfiguration abzuschließen, müssen Sie Folgendes tun:To complete this custom configuration, you'll need to:

  1. Erstellen einer Registrierung in Azure AD.Create a registration in Azure AD.
  2. Bereitstellen einige Registrierungsdetails für den App Service.Provide some of the registration details to App Service.

Erstellen einer App-Registrierung in Azure AD für Ihre App Service-App Create an app registration in Azure AD for your App Service app

Sie benötigen die folgenden Informationen, wenn Sie Ihre App Service-App konfigurieren:You'll need the following information when you configure your App Service app:

  • Client-IDClient ID
  • Mandanten-IDTenant ID
  • Geheimer Clientschlüssel (optional)Client secret (optional)
  • Anwendungs-ID-URIApplication ID URI

Führen Sie die folgenden Schritte aus:Perform the following steps:

  1. Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Ihrer App Service-App.Sign in to the Azure portal and go to your App Service app. Notieren Sie sich die URL Ihrer App.Note your app's URL. Sie verwenden diese, um die Registrierung Ihrer Azure Active Directory-App zu konfigurieren.You'll use it to configure your Azure Active Directory app registration.

  2. Wählen Sie Azure Active Directory > App-Registrierungen > Neue Registrierung aus.Select Azure Active Directory > App registrations > New registration.

  3. Geben Sie auf der Seite Anwendung registrieren einen Namen für Ihre App-Registrierung ein.In the Register an application page, enter a Name for your app registration.

  4. Wählen Sie in Umleitungs-URI die Option Web aus, geben Sie die URL Ihrer App Service-App ein, und fügen Sie den Pfad /.auth/login/aad/callback an.In Redirect URI, select Web and enter the URL of your App Service app and append the path /.auth/login/aad/callback. Beispiel: https://contoso.azurewebsites.net/.auth/login/aad/callback.For example, https://contoso.azurewebsites.net/.auth/login/aad/callback.

  5. Klicken Sie auf Erstellen.Select Create.

  6. Nachdem die App-Registrierung erstellt wurde, kopieren Sie die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) , damit Sie diese später verwenden können.After the app registration is created, copy the Application (client) ID and the Directory (tenant) ID for later.

  7. Wählen Sie Branding aus.Select Branding. Geben Sie in URL der Startseite die URL Ihrer App Service-App ein, und wählen Sie Speichern aus.In Home page URL, enter the URL of your App Service app and select Save.

  8. Wählen Sie Eine API verfügbar machen > Festlegen aus.Select Expose an API > Set. Fügen Sie die URL Ihrer App Service-App ein, und wählen Sie Speichern aus.Paste in the URL of your App Service app and select Save.

    Hinweis

    Dieser Wert ist der Anwendungs-ID-URI der App-Registrierung.This value is the Application ID URI of the app registration. Wenn Ihre Web-App Zugriff auf eine API in der Cloud erfordert, benötigen Sie den Anwendungs-ID-URI der Web-App, wenn Sie die App Service-Cloudressource konfigurieren.If your web app requires access to an API in the cloud, you need the Application ID URI of the web app when you configure the cloud App Service resource. Sie können dies beispielsweise verwenden, wenn der Clouddienst explizit Zugriff auf die Web-App gewähren soll.You can use this, for example, if you want the cloud service to explicitly grant access to the web app.

  9. Wählen Sie Bereich hinzufügen.Select Add a scope.

    1. Geben Sie in Bereichsname den Namen user_impersonation ein.In Scope name, enter user_impersonation.
    2. Geben Sie in die Textfelder den Namen und die Beschreibung für den Einwilligungsbereich ein, die Benutzern auf der Einwilligungsseite angezeigt werden sollen.In the text boxes, enter the consent scope name and description you want users to see on the consent page. Geben Sie z. B. Zugriff auf meine App ein.For example, enter Access my app.
    3. Wählen Sie Bereich hinzufügen aus.Select Add scope.
  10. (Optional) Um einen geheimen Clientschlüssel zu erstellen, wählen Sie Zertifikate und Geheimnisse > Neuer geheimer Clientschlüssel > Hinzufügen aus.(Optional) To create a client secret, select Certificates & secrets > New client secret > Add. Kopieren Sie den Wert des geheimen Clientschlüssels, der auf der Seite angezeigt wird.Copy the client secret value shown in the page. Er wird nicht noch einmal angezeigt.It won't be shown again.

  11. (Optional) Wenn Sie mehrere Antwort-URLs hinzufügen möchten, wählen Sie Authentifizierung aus.(Optional) To add multiple Reply URLs, select Authentication.

Hinzufügen von Azure Active Directory-Informationen zu Ihrer App Service-App Add Azure Active Directory information to your App Service app

  1. Wechseln Sie im Azure-Portal zu Ihrer App Service-App.In the Azure portal, go to your App Service app.

  2. Wählen Sie im linken Bereich Einstellungen > Authentifizierung/Autorisierung aus, und stellen Sie sicher, dass für die App Service-Authentifizierung die Option Ein festgelegt ist.Select Settings > Authentication / Authorization in the left pane, and make sure that App Service Authentication is On.

  3. (Optional) Standardmäßig lässt die App Service Authentifizierung nicht authentifizierten Zugriff auf Ihre App zu.(Optional) By default, App Service authentication allows unauthenticated access to your app. Um Benutzerauthentifizierung zu erzwingen, legen Sie Die auszuführende Aktion, wenn die Anforderung nicht authentifiziert ist auf Mit Azure Active Directory anmelden fest.To enforce user authentication, set Action to take when request is not authenticated to Log in with Azure Active Directory.

  4. Wählen Sie unter „Authentifizierungsanbieter“ die Option Azure Active Directory aus.Under Authentication Providers, select Azure Active Directory.

  5. Wählen Sie in Verwaltungsmodus die Option Erweitert aus, und konfigurieren Sie die App Service-Authentifizierung gemäß der folgenden Tabelle:In Management mode, select Advanced and configure App Service authentication according to the following table:

    FeldField BESCHREIBUNGDescription
    Client-IDClient ID Verwenden Sie die Anwendungs-ID (Client) der App-Registrierung.Use the Application (client) ID of the app registration.
    Zertifikataussteller-IDIssuer ID Verwenden Sie https://login.microsoftonline.com/<tenant-id>, und ersetzen Sie <tenant-id durch die Verzeichnis-ID (Mandant) der App-Registrierung.Use https://login.microsoftonline.com/<tenant-id>, and replace <tenant-id> with the Directory (tenant) ID of the app registration.
    Geheimer Clientschlüssel (optional)Client Secret (Optional) Verwenden Sie den geheimen Clientschlüssel, den Sie in der App-Registrierung generiert haben.Use the client secret you generated in the app registration.
    Zulässige TokenzielgruppenAllowed Token Audiences Wenn dies eine Cloud- oder Server-App ist und Sie Authentifizierungstoken von einer Web-App zulassen möchten, fügen Sie hier den Anwendungs-ID-URI der Web-App hinzu.If this is a cloud or server app and you want to allow authentication tokens from a web app, add the Application ID URI of the web app here.

    Hinweis

    Die konfigurierte Client-ID wird immer implizit als zulässige Zielgruppe betrachtet, und zwar unabhängig davon, wie Sie die Option Zulässige Tokenzielgruppen konfiguriert haben.The configured Client ID is always implicitly considered to be an allowed audience, regardless of how you configured the Allowed Token Audiences.

  6. Wählen Sie OK und anschließend Speichern aus.Select OK, and then select Save.

Sie können nun Azure Active Directory für die Authentifizierung in Ihrer App Service-App verwenden.You're now ready to use Azure Active Directory for authentication in your App Service app.

Konfigurieren einer nativen ClientanwendungConfigure a native client application

Sie können native Clients registrieren, um die Authentifizierung mittel Clientbibliothek zuzulassen, etwa der Active Directory-Authentifizierungsbibliothek.You can register native clients to allow authentication using a client library such as the Active Directory Authentication Library.

  1. Wählen Sie im Azure-Portal nacheinander Active Directory > App-Registrierungen > Neue Registrierung aus.In the Azure portal, select Active Directory > App registrations > New registration.

  2. Geben Sie auf der Seite Anwendung registrieren einen Namen für Ihre App-Registrierung ein.In the Register an application page, enter a Name for your app registration.

  3. Wählen Sie in Umleitungs-URI die Option Öffentlicher Client (Mobilgerät und Desktop) aus, geben Sie die URL Ihrer App Service-App ein, und fügen Sie den Pfad /.auth/login/aad/callback an.In Redirect URI, select Public client (mobile & desktop) and enter the URL of your App Service app and append the path /.auth/login/aad/callback. Beispiel: https://contoso.azurewebsites.net/.auth/login/aad/callback.For example, https://contoso.azurewebsites.net/.auth/login/aad/callback.

  4. Klicken Sie auf Erstellen.Select Create.

    Hinweis

    Für eine Windows-Anwendung verwenden Sie stattdessen die Paket-SID als URI.For a Windows application, use the package SID as the URI instead.

  5. Sobald die App-Registrierung erstellt wurde, kopieren Sie den Wert von Anwendungs-ID (Client) .After the app registration is created, copy the value of Application (client) ID.

  6. Wählen Sie über die Option API-Berechtigungen > Berechtigung hinzufügen > Meine APIs aus.Select API permissions > Add a permission > My APIs.

  7. Wählen Sie die App-Registrierung aus, die Sie zuvor für Ihre App Service-App erstellt haben.Select the app registration you created earlier for your App Service app. Wenn die App-Registrierung nicht angezeigt wird, stellen Sie sicher, dass Sie den Bereich user_impersonation in Erstellen einer App-Registrierung in Azure AD für Ihre App Service-App hinzugefügt haben.If you don't see the app registration, make sure that you've added the user_impersonation scope in Create an app registration in Azure AD for your App Service app.

  8. Wählen Sie user_impersonation aus, und wählen Sie dann Berechtigungen hinzufügen aus.Select user_impersonation, and then select Add permissions.

Sie haben nun eine native Clientanwendung konfiguriert, die auf Ihre App Service-App zugreifen kann.You have now configured a native client application that can access your App Service app.

Nächste Schritte Next steps