Configuración de la aplicación de App Service para usar el inicio de sesión de Azure ADConfigure your App Service app to use Azure AD login

En este artículo se muestra cómo configurar Azure App Service para usar Azure Active Directory (Azure AD) como proveedor de autenticación.This article shows you how to configure Azure App Service to use Azure Active Directory (Azure AD) as an authentication provider.

Siga estos procedimientos recomendados para configurar la aplicación y la autenticación:Follow these best practices when setting up your app and authentication:

  • Asigne a cada aplicación de App Service sus propios permisos y consentimiento.Give each App Service app its own permissions and consent.
  • Configure cada aplicación de App Service con su propio registro.Configure each App Service app with its own registration.
  • Evite el uso compartido de permisos entre entornos mediante registros de aplicación independientes para ranuras de implementación independientes.Avoid permission sharing between environments by using separate app registrations for separate deployment slots. Al probar nuevo código, esta práctica puede ayudar a evitar que los problemas afecten a la aplicación de producción.When testing new code, this practice can help prevent issues from affecting the production app.

Configuración rápida Configure with express settings

Nota

La opción Rápida no está disponible en las nubes de las administraciones públicas.The Express option is not available for government clouds.

  1. En Azure Portal, busque y seleccione App Services y luego elija la aplicación.In the Azure portal, search for and select App Services, and then select your app.

  2. En el panel de navegación izquierdo, seleccione Autenticación/Autorización > Activado.From the left navigation, select Authentication / Authorization > On.

  3. Seleccione Azure Active Directory > Rápido.Select Azure Active Directory > Express.

    Si prefiere elegir un registro de aplicación existente:If you want to choose an existing app registration instead:

    1. Elija Seleccionar aplicación de AD existente y haga clic en Aplicación de Azure AD.Choose Select Existing AD app, then click Azure AD App.
    2. Elija un registro de aplicación existente y haga clic en Aceptar.Choose an existing app registration and click OK.
  4. Seleccione Aceptar para registrar la aplicación de App Service en Azure Active Directory.Select OK to register the App Service app in Azure Active Directory. Se crea un nuevo registro de la aplicación.A new app registration is created.

    Configuración rápida en Azure Active Directory

  5. (Opcional) De manera predeterminada, App Service ofrece autenticación pero no restringe el acceso autorizado al contenido del sitio y a las API.(Optional) By default, App Service provides authentication but doesn't restrict authorized access to your site content and APIs. Debe autorizar a los usuarios en el código de la aplicación.You must authorize users in your app code. Para restringir el acceso a la aplicación solo a los usuarios autenticados mediante Azure Active Directory, configure Acción necesaria cuando la solicitud no está autenticada en Iniciar sesión con Azure Active Directory.To restrict app access only to users authenticated by Azure Active Directory, set Action to take when request is not authenticated to Log in with Azure Active Directory. Al establecer esta funcionalidad, la aplicación requiere que se autentiquen todas las solicitudes.When you set this functionality, your app requires all requests to be authenticated. También redirige todo lo que no está autenticado a Azure Active Directory para la autenticación.It also redirects all unauthenticated to Azure Active Directory for authentication.

    Precaución

    Este método de restricción del acceso se aplica a todas las llamadas a la aplicación, lo que puede no interesar en las aplicaciones que tienen una página principal disponible públicamente así como en muchas aplicaciones de página única.Restricting access in this way applies to all calls to your app, which might not be desirable for apps that have a publicly available home page, as in many single-page applications. Para tales aplicaciones, puede ser preferible Permitir solicitudes anónimas (ninguna acción) y que la aplicación inicie manualmente el inicio de sesión.For such applications, Allow anonymous requests (no action) might be preferred, with the app manually starting login itself. Para más información, consulte Flujo de autenticación.For more information, see Authentication flow.

  6. Seleccione Guardar.Select Save.

Configuración avanzada Configure with advanced settings

Puede configurar la aplicación manualmente si quiere usar un registro de aplicaciones de otro inquilino de Azure AD.You can configure app settings manually if you want to use an app registration from a different Azure AD tenant. Para completar esta configuración personalizada:To complete this custom configuration:

  1. Crear un registro en Azure AD.Create a registration in Azure AD.
  2. Proporcionar algunos detalles de registro a App Service.Provide some of the registration details to App Service.

Creación de un registro de aplicaciones en Azure AD para la aplicación App Service Create an app registration in Azure AD for your App Service app

Para configurar la aplicación de App Service, necesitará la siguiente información:You'll need the following information when you configure your App Service app:

  • Id. de clienteClient ID
  • Id. de inquilinoTenant ID
  • Secreto de cliente (opcional)Client secret (optional)
  • URI de Id. de aplicaciónApplication ID URI

Lleve a cabo los siguiente pasos:Perform the following steps:

  1. Inicie sesión en Azure Portal, busque y seleccione App Services y luego elija la aplicación.Sign in to the Azure portal, search for and select App Services, and then select your app. Anote la Dirección URL de la aplicación.Note your app's URL. La usará para configurar el registro de la aplicación de Azure Active Directory.You'll use it to configure your Azure Active Directory app registration.

  2. Haga clic en Azure Active Directory > Registros de aplicaciones > Nuevo registro.Select Azure Active Directory > App registrations > New registration.

  3. En la página Register an application (Registrar una aplicación), escriba el nombre del registro de aplicaciones.In the Register an application page, enter a Name for your app registration.

  4. En URI de redirección, seleccione Web y escriba <app-url>/.auth/login/aad/callback.In Redirect URI, select Web and type <app-url>/.auth/login/aad/callback. Por ejemplo, https://contoso.azurewebsites.net/.auth/login/aad/callback.For example, https://contoso.azurewebsites.net/.auth/login/aad/callback.

  5. Seleccione Crear.Select Create.

  6. Una vez creado el registro de la aplicación, copie el Id. de aplicación (cliente) y el Id. de directorio (inquilino) para usarlos más adelante.After the app registration is created, copy the Application (client) ID and the Directory (tenant) ID for later.

  7. Seleccione la personalización de marca.Select Branding. En URL de página principal, escriba la dirección URL de la aplicación de App Service y seleccione Guardar.In Home page URL, enter the URL of your App Service app and select Save.

  8. Seleccione Expose an API (Exponer una API) > Set (Conjunto) .Select Expose an API > Set. Cópiela en la dirección URL de la aplicación de App Service y seleccione Save (Guardar).Paste in the URL of your App Service app and select Save.

    Nota

    Este valor es el URI del identificador de la aplicación del registro de aplicaciones.This value is the Application ID URI of the app registration. Si la aplicación web requiere acceso a una API en la nube, al configurar el recurso de App Service en la nube necesitará el valor de URI de Id. de aplicación de la aplicación web.If your web app requires access to an API in the cloud, you need the Application ID URI of the web app when you configure the cloud App Service resource. Puede utilizarlo, por ejemplo, si desea que el servicio en la nube conceda acceso explícitamente a la aplicación web.You can use this, for example, if you want the cloud service to explicitly grant access to the web app.

  9. Seleccione Agregar un ámbito.Select Add a scope.

    1. En Nombre de ámbito, escriba user_impersonation.In Scope name, enter user_impersonation.
    2. En los cuadros de texto, escriba el nombre y la descripción del ámbito de consentimiento que quiere que vean los usuarios en la página de consentimiento.In the text boxes, enter the consent scope name and description you want users to see on the consent page. Por ejemplo, escriba Access my app (Acceder a mi aplicación).For example, enter Access my app.
    3. Seleccione la opción Agregar un ámbito.Select Add scope.
  10. (Opcional) Para crear un secreto de cliente, seleccione Certificates & secrets (Certificados y secretos) > New client secret (Nuevo secreto de cliente) > Add (Agregar) .(Optional) To create a client secret, select Certificates & secrets > New client secret > Add. Copie el valor del secreto del cliente que se muestra en la página.Copy the client secret value shown in the page. No se volverá a mostrar.It won't be shown again.

  11. (Opcional) Para agregar varios valores en Direcciones URL de respuesta, seleccione Autenticación.(Optional) To add multiple Reply URLs, select Authentication.

Habilitación de Azure Active Directory en la aplicación de App Service Enable Azure Active Directory in your App Service app

  1. En Azure Portal, busque y seleccione App Services y luego elija la aplicación.In the Azure portal, search for and select App Services, and then select your app.

  2. En el panel izquierdo, en Configuración, seleccione Autenticación/Autorización > Activado.In the left pane, under Settings, select Authentication / Authorization > On.

  3. (Opcional) De forma predeterminada, la autenticación de App Service permite el acceso no autenticado a la aplicación.(Optional) By default, App Service authentication allows unauthenticated access to your app. Para aplicar la autenticación de usuario, establezca la acción necesaria cuando la solicitud no está autenticada, en Log in with Azure Active Directory (Iniciar sesión con Azure Active Directory).To enforce user authentication, set Action to take when request is not authenticated to Log in with Azure Active Directory.

  4. En Proveedores de autenticación, seleccione Azure Active Directory.Under Authentication Providers, select Azure Active Directory.

  5. En el modo de administración, seleccione Advanced (Avanzada) y configure la autenticación de App Service de acuerdo con la tabla siguiente:In Management mode, select Advanced and configure App Service authentication according to the following table:

    CampoField DescripciónDescription
    Id. de clienteClient ID Use el identificador de la aplicación (cliente) del registro de aplicaciones.Use the Application (client) ID of the app registration.
    Id. del emisorIssuer ID Use https://login.microsoftonline.com/<tenant-id> y reemplace <tenant-id> con el identificador de directorio (inquilino) del registro de aplicaciones.Use https://login.microsoftonline.com/<tenant-id>, and replace <tenant-id> with the Directory (tenant) ID of the app registration.
    Secreto de cliente (opcional)Client Secret (Optional) Use el secreto de cliente que generó en el registro de la aplicación.Use the client secret you generated in the app registration.
    Audiencias de token permitidasAllowed Token Audiences Si se trata de una aplicación en la nube o una aplicación de servidor y quiere permitir tokens de autenticación desde una aplicación web, agregue aquí el valor de URI de Id. de aplicación de la aplicación web.If this is a cloud or server app and you want to allow authentication tokens from a web app, add the Application ID URI of the web app here. De forma implícita, el Id. de cliente se considera siempre que es un público permitido.The configured Client ID is always implicitly considered to be an allowed audience.
  6. Seleccione Aceptar y después Guardar.Select OK, and then select Save.

Ahora está preparado para usar Azure Active Directory para realizar la autenticación en la aplicación de App Service.You're now ready to use Azure Active Directory for authentication in your App Service app.

Configuración de una aplicación de cliente nativoConfigure a native client application

Puede registrar clientes nativos para permitir la autenticación con una biblioteca cliente como la Biblioteca de autenticación de Active Directory.You can register native clients to allow authentication using a client library such as the Active Directory Authentication Library.

  1. En Azure Portal, seleccione Azure Active Directory > Registros de aplicaciones > Nuevo registro.In the Azure portal, select Active Directory > App registrations > New registration.

  2. En la página Register an application (Registrar una aplicación), escriba el nombre del registro de aplicaciones.In the Register an application page, enter a Name for your app registration.

  3. En URI de redirección, seleccione Cliente público (móvil y escritorio) , y escriba la dirección URL <app-url>/.auth/login/aad/callback.In Redirect URI, select Public client (mobile & desktop) and type the URL <app-url>/.auth/login/aad/callback. Por ejemplo, https://contoso.azurewebsites.net/.auth/login/aad/callback.For example, https://contoso.azurewebsites.net/.auth/login/aad/callback.

    Nota

    Para una aplicación de Windows, use el valor de SID del paquete como URI en su lugar.For a Windows application, use the package SID as the URI instead.

  4. Seleccione Crear.Select Create.

  5. Una vez creado el registro de aplicación, copie el valor de Id. de aplicación (cliente) .After the app registration is created, copy the value of Application (client) ID.

  6. Seleccione Permisos de API > Agregar permiso > Mis API.Select API permissions > Add a permission > My APIs.

  7. Seleccione el registro de aplicaciones que creó anteriormente para la aplicación de App Service.Select the app registration you created earlier for your App Service app. Si no ve el registro de aplicación, compruebe que agregó el ámbito user_impersonation en Creación de un registro de aplicaciones en Azure AD para la aplicación App Service.If you don't see the app registration, make sure that you've added the user_impersonation scope in Create an app registration in Azure AD for your App Service app.

  8. Seleccione user_impersonation y después Agregar permisos.Select user_impersonation, and then select Add permissions.

Ahora ha configurado una aplicación cliente nativa que puede acceder a la aplicación de App Service.You have now configured a native client application that can access your App Service app.

Pasos siguientes Next steps