Schnellstart: Hinzufügen der App-Authentifizierung zu Ihrer Web-App, die in Azure App Service ausgeführt wird

Hier erfahren Sie, wie Sie die Authentifizierung für Ihre in Azure App Service ausgeführte Web-App aktivieren und den Zugriff auf die Benutzer in Ihrer Organisation beschränken.

In diesem Tutorial lernen Sie Folgendes:

• Konfigurieren der Authentifizierung für die Web-App
• Beschränken Sie den Zugriff auf die Web-App auf Benutzer in Ihrer Organisation, indem Sie Microsoft Entra als Identitätsanbieter verwenden.

Automatische Authentifizierung, bereitgestellt von App Service

App Service stellt integrierte Authentifizierungs- und Autorisierungsunterstützung bereit, sodass Sie Benutzer ohne Code in Ihrer Web-App anmelden können. Die Verwendung des optionalen App Service-Moduls für die Authentifizierung/Autorisierung vereinfacht die Authentifizierung und Autorisierung für Ihre App. Wenn Sie für die benutzerdefinierte Authentifizierung und Autorisierung bereit sind, bauen Sie auf dieser Architektur auf.

App Service-Authentifizierung bietet:

• Einfaches Aktivieren und Konfigurieren über das Azure-Portal und mit App-Einstellungen.
• Weder SDKs noch bestimmte Sprachen oder Änderungen am Anwendungscode sind erforderlich.​
• Mehrere Identitätsanbieter werden unterstützt:
  • Microsoft Entra
  • Microsoft-Konto
  • Facebook
  • Google
  • Twitter

Wenn das Modul für die Authentifizierung/Autorisierung aktiviert ist, wird es von allen eingehenden HTTP-Anforderungen durchlaufen, bevor diese von Ihrem App-Code verarbeitet werden. Weitere Informationen finden Sie unter Authentifizierung und Autorisierung in Azure App Service.

1. Voraussetzungen

Sollten Sie über kein Azure-Abonnement verfügen, können Sie zunächst ein kostenloses Azure-Konto erstellen.

2. Erstellen und Veröffentlichen einer Web-App in App Service

Für dieses Tutorial benötigen Sie eine in App Service bereitgestellte Web-App. Sie können eine vorhandene Web-App verwenden oder eine der Schnellstartanleitungen befolgen, um eine neue Web-App für App Service zu erstellen und zu veröffentlichen:

• ASP.NET Core
• Node.js
• Python
• Java

Egal, ob Sie eine vorhandene Web-App verwenden oder eine neu erstellen, beachten Sie Folgendes:

• Name der Web-App.
• Ressourcengruppe, in der die Web-App bereitgestellt wird.

Sie benötigen diese Namen in diesem Tutorial.

3. Konfigurieren der Authentifizierung und Autorisierung

Nachdem Sie nun über eine Web-App verfügen, die in App Service ausgeführt wird, aktivieren Sie die Authentifizierung und Autorisierung. Sie verwenden Microsoft Entra als Identitätsanbieter. Weitere Informationen finden Sie unter Konfigurieren der Microsoft Entra-Authentifizierung für die App Services-Anwendung.

Konfiguration der Mitarbeiter

1. Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option aus.

2. Navigieren Sie in Ressourcengruppen zu Ihrer Ressourcengruppe, und wählen Sie sie aus. Wählen Sie unter Übersicht die Verwaltungsseite Ihrer App aus.

   

3. Wählen Sie im linken Menü der App die Option Authentifizierung und anschließend Identitätsanbieter hinzufügen aus.

4. Wählen Sie auf der Seite Identitätsanbieter hinzufügen die Option Microsoft als Identitätsanbieter aus, um Microsoft- und Microsoft Entra ID-Identitäten anzumelden.

5. Wählen Sie unter Mandantentyp die Option Konfiguration der Mitarbeiter (aktueller Mandant) für Mitarbeiter und Geschäftsgäste aus.

6. Wählen Sie unter App-Registrierung>App-Registrierungstyp die Option Neue App-Registrierung erstellen aus, um eine neue App-Registrierung in Microsoft Entra zu erstellen.

7. Fügen Sie einen Namen für die App-Registrierung hinzu. Dies ist der öffentliche Anzeigename.

8. Wählen Sie unter App-Registrierung>Unterstützte Kontotypendie Option Aktueller Mandant-Einzelmandant aus, damit sich nur Benutzer in Ihrer Organisation bei der Webanwendung anmelden können.

9. Belassen Sie im Abschnitt "Einstellungen für die App Service Authentifizierung " die Einstellung Authentifizierungerforderlich, und nicht authentifizierte Anforderungen auf HTTP 302-Umleitung finden: empfohlen für Websites.

10. Wählen Sie am unteren Rand der Seite Identitätsanbieter hinzufügen die Option Hinzufügen aus, um die Authentifizierung für Ihre Web-App zu aktivieren.

    

    Sie verfügen nun über eine App, die per App Service-Authentifizierung und -Autorisierung geschützt ist.

    Hinweis

    Wenn Sie Konten von anderen Mandanten zulassen möchten, ändern Sie die ‚Aussteller-URL‘ in ‚ https://login.microsoftonline.com/common/v2.0 ‘, indem Sie auf dem Blatt ‚Authentifizierung‘ Ihren ‚Identitätsanbieter‘ bearbeiten.

Externe Konfiguration

1. Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option aus.

2. Navigieren Sie in Ressourcengruppen zu Ihrer Ressourcengruppe, und wählen Sie sie aus. Wählen Sie unter Übersicht die Verwaltungsseite Ihrer App aus.

   

3. Wählen Sie im linken Menü der App die Option Authentifizierung und anschließend Identitätsanbieter hinzufügen aus.

4. Wählen Sie auf der Seite Identitätsanbieter hinzufügen die Option Microsoft als Identitätsanbieter aus, um Microsoft- und Microsoft Entra ID-Identitäten anzumelden.

5. Wählen Sie unter Mandantentyp die Option Externe Konfiguration für externe Benutzer aus.

6. Wählen Sie zunächst zum Erstellen einer neuen App-Registrierung die Option Neue App-Registrierung erstellen und dann den Kundenmandant (extern) aus, den Sie verwenden möchten.

7. Wählen Sie Konfigurieren aus, um die externe Authentifizierung zu konfigurieren.

   

8. Der Browser öffnet die Seite Kundenauthentifizierung konfigurieren. Wählen Sie unter Anmeldung einrichten die Option Neu erstellen aus, um eine Anmeldeumgebung für Ihre externen Benutzer zu erstellen.

9. Geben Sie unter Name einen Namen für den Benutzerflow ein.

10. Wählen Sie für diesen Schnellstart die Option E-Mail-Adresse und Kennwort aus, die es neuen Benutzern ermöglicht, sich mit einer E-Mail-Adresse als Anmeldenamen und einem Kennwort als ersten Faktor der Anmeldeinformationen zu registrieren und anzumelden.

11. Wählen Sie Erstellen aus, um den Benutzerflow zu erstellen.

    

12. Wählen Sie Weiter aus, um das Branding anzupassen.

13. Fügen Sie Ihr Firmenlogo hinzu, wählen Sie zunächst eine Hintergrundfarbe und dann ein Layout für die Anmeldung aus.

    

14. Wählen Sie Weiter und Ja, Änderungen aktualisieren aus, um die Änderungen am Branding zu akzeptieren.

15. Wählen Sie Konfigurieren auf der Registerkarte Überprüfen aus, um das Update des Mandanten für External ID (CIAM) zu bestätigen.

16. Der Browser öffnet die Seite Identitätsanbieter hinzufügen.

17. Wählen Sie im Abschnitt Zusätzliche Überprüfungen Folgendes aus:

    • Anforderungen nur von dieser Anwendung selbst zulassen unter Client-Anwendungsanforderung
    • Anforderungen von jeder Identität zulassen unter Identitätsanforderung
    • Anforderungen nur vom Ausstellermandanten zulassen unter Mandantenanforderung

18. Legen Sie im Abschnitt App Service-Authentifizierungseinstellungen Folgendes fest:

    • Authentifizierung erforderlich unter Authentifizierung
    • HTTP 302 Gefundene Umleitung: empfohlen für Websites unter Nicht authentifizierte Anforderungen
    • Kontrollkästchen für Tokenspeicher

19. Wählen Sie am unteren Rand der Seite Identitätsanbieter hinzufügen die Option Hinzufügen aus, um die Authentifizierung für Ihre Web-App zu aktivieren.

    

4. Überprüfen des beschränkten Zugriffs auf die Web-App

Im Zuge der Aktivierung des App Service-Moduls für die Authentifizierung/Autorisierung im vorherigen Abschnitt wurde in Ihrem Mitarbeiter- oder Kundenmandanten (extern) eine App-Registrierung erstellt. Die App-Registrierung hat den gleichen Anzeigenamen wie Ihre Web-App.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an, um die Einstellungen zu überprüfen. Verwenden Sie bei Bedarf das Symbol Einstellungen im oberen Menü, um mit Ihrer Web-App über das Menü Verzeichnisse + Abonnements zum Kundenmandanten (extern) zu wechseln. Wenn Sie sich im richtigen Mandanten befinden:

2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen, und wählen Sie Anwendungen>App-Registrierungen im Menü aus.

3. Wählen Sie die App-Registrierung aus, die erstellt wurde.

4. Überprüfen Sie in der Übersicht, ob Unterstützte Kontotypen auf Nur meine Organisation festgelegt ist.

5. Um zu überprüfen, ob der Zugriff auf Ihre App auf Benutzer in Ihrer Organisation beschränkt ist, wechseln Sie zur Übersicht Ihrer Web-App, und wählen Sie den Link der Standarddomäne aus. Oder starten Sie einen Browser im Inkognito- oder privaten Modus, und wechseln Sie zu https://<app-name>.azurewebsites.net.

   

6. Sie sollten zu einer geschützten Anmeldeseite weitergeleitet werden. Ist dies der Fall, haben nicht authentifizierte Benutzer keinen Zugriff auf die Website.

7. Melden Sie sich als Benutzer Ihrer Organisation an, um Zugriff auf die Website zu erhalten. Sie können auch einen neuen Browser starten und versuchen, sich mit einem persönlichen Konto anzumelden, um sich zu vergewissern, dass externe Benutzer keinen Zugriff haben.

5. Bereinigen von Ressourcen

Wenn Sie alle Schritte in diesem mehrteiligen Tutorial ausgeführt haben, haben Sie einen App-Dienst, einen App Service-Hostingplan und ein Speicherkonto in einer Ressourcengruppe erstellt. Sie haben auch eine App-Registrierung in Microsoft Entra ID erstellt. Wenn Sie diese Ressourcen nicht mehr benötigen, löschen Sie diese und die App-Registrierung, sodass keine Gebühren mehr anfallen.

In diesem Tutorial lernen Sie Folgendes:

• Löschen der Azure-Ressourcen, die im Rahmen des Tutorials erstellt wurden

Löschen der Ressourcengruppe

Wählen Sie im Azure-Portal im Portalmenü die Option Ressourcengruppen und dann die Ressourcengruppe aus, die Ihren App-Dienst und den App Service-Plan enthält.

Wählen Sie Ressourcengruppe löschen aus, um die Ressourcengruppe und alle Ressourcen zu löschen.

Die Ausführung dieses Befehls kann mehrere Minuten dauern.

Löschen der App-Registrierung

Wählen Sie im Microsoft Entra Admin Center die Option Anwendungen>App-Registrierungen aus. Wählen Sie anschließend die von Ihnen erstellte Anwendung aus.

Wählen Sie in der Übersicht der App-Registrierungen die Option Löschen aus.

Nächste Schritte

In diesem Tutorial haben Sie gelernt, wie die folgenden Aufgaben ausgeführt werden:

• Konfigurieren der Authentifizierung für die Web-App
• Beschränken des Web-App-Zugriffs auf Benutzer in Ihrer Organisation

App Service: Zugreifen auf den Speicher