Identidades administradas para Azure SignalR Service

En este artículo se explica cómo crear una identidad administrada para Azure SignalR Service y cómo usarla en escenarios sin servidor.

Importante

Azure SignalR Service solo admite una identidad administrada. Esto significa que puede agregar una identidad asignada por el sistema o asignada por el usuario.

Adición de una identidad asignada por el sistema

Para configurar una identidad administrada en Azure Portal, primero tiene que crear una instancia de Azure SignalR Service y después habilitar la característica.

  1. Cree una instancia de Azure SignalR Service en el portal como lo haría normalmente. Búsquela en el portal.

  2. Seleccione Identidad.

  3. En la pestaña Asignado por el sistema, cambie Estado a Activado. Seleccione Guardar.

    Adición de una identidad asignada por el sistema en el portal

Adición de una identidad asignada por el usuario

La creación de una instancia de Azure SignalR Service con una identidad asignada por el usuario requiere que se cree la identidad y luego se agregue su identificador de recurso al servicio.

  1. Cree un recurso de identidad administrada asignada por el usuario según estas instrucciones.

  2. Cree una instancia de Azure SignalR Service en el portal como lo haría normalmente. Búsquela en el portal.

  3. Seleccione Identidad.

  4. En la pestaña Usuario asignado, seleccione Agregar.

  5. Busque la identidad que creó anteriormente y selecciónela. Seleccione Agregar.

    Adición de una identidad asignada por el usuario en el portal

Uso de una identidad administrada en escenarios sin servidor

Azure SignalR Service es un servicio totalmente administrado, por lo que no puede usar una identidad administrada para obtener tokens manualmente. En cambio, Azure SignalR Service usa la identidad administrada que se establece para obtener un token de acceso. Después, el servicio establece el token de acceso en un encabezado Authorization de una solicitud ascendente en escenarios sin servidor.

Habilitar la autenticación de la identidad administrada en la configuración ascendente

  1. Agregue una identidad asignada por el sistema o una asignada por el usuario.

  2. Agregue una configuración ascendente y haga clic en cualquier asterisco para entrar en una página detallada, como se muestra a continuación. pre-msi-setting

    msi-setting

  3. En la configuración de autenticación de la identidad administrada, puede especificar el recurso de destino en Recurso. El recurso se convertirá en una notificación aud en el token de acceso obtenido, que se puede usar como parte de la validación en los puntos de conexión ascendentes. El recurso puede ser uno de los siguientes:

    Nota

    Si valida un token de acceso por sí mismo en el servicio, puede elegir cualquier formato para el recurso. Solo tiene que asegurarse de que el valor Recurso de la configuración de Auth sea coherente con la validación. Si usa el control de acceso basado en roles de Azure para un plano de datos, debe usar el recurso que solicite el proveedor de servicios.

Validación de los tokens de acceso

El token del encabezado Authorization es un token de acceso plataforma de identidades de Microsoft.

Para validar los tokens de acceso, la aplicación también debe validar la audiencia y los tokens de firmas. Deben validarse con los valores del documento de detección de OpenID. Por ejemplo, fijémonos en la versión independiente del inquilino del documento.

El middleware de Azure Active Directory (Azure AD) tiene capacidades integradas para validar los tokens de acceso. Puede examinar nuestros ejemplos para encontrar uno en el idioma que elija.

Proporcionamos bibliotecas y ejemplos de código que le muestran cómo controlar la validación de tokens. También hay varias bibliotecas de asociados de código abierto disponibles para la validación de JSON Web Token (JWT). Al menos hay una opción para casi cualquier plataforma y lenguaje. Para obtener más información acerca de los ejemplos de código y las bibliotecas de autenticación de Azure AD, vea Bibliotecas de autenticación de la plataforma de identidad de Microsoft.

Autenticación en la aplicación de funciones

La configuración de la validación de token de acceso en la aplicación de funciones es fácil y eficaz sin que el código funcione.

  1. En la página Autenticación (clásica) , cambie Autenticación de App Service a Activado.

  2. Seleccione Log in with Azure Active Directory (Iniciar sesión con Azure Active Directory) en Action to take when request is not authenticated (Acción necesaria cuando la solicitud no está autenticada).

  3. En el proveedor de autenticación, haga clic en Azure Active Directory

  4. En la nueva página. Seleccione Rápido y Crear nueva aplicación de AD y, a continuación, haga clic en Aceptar Aplicación de funciones

  5. Vaya a SignalR Service y siga los pasos para agregar una identidad asignada por el sistema o una asignada por el usuario.

  6. Adéntrese en la configuración ascendente de SignalR Service y elija Uso de identidad administrada y Select from existing Applications (Seleccionar una de las aplicaciones existentes). Seleccione la aplicación que ha creado anteriormente.

Después de esta configuración, la aplicación de funciones rechazará las solicitudes sin un token de acceso en el encabezado.

Importante

Para pasar la autenticación, la dirección URL del emisor debe coincidir con la notificación iss del token. Actualmente, solo se admite el punto de conexión v1 (vea v1.0 y v2.0), por lo que la dirección URL del emisor debe parecerse a https://sts.windows.net/<tenant-id>/. Compruebe la dirección URL del emisor configurada en la instancia de Azure Functions. En Autenticación, vaya a Proveedor de identidades -> Editar -> URL del emisor y en Autenticación (clásica) , vaya a Azure Active Directory -> Opciones avanzadas -> URL del emisor.

Uso de una identidad administrada para la referencia de Key Vault

SignalR Service puede tener acceso a Key Vault para obtener el secreto mediante la identidad administrada.

  1. Agregue una identidad asignada por el sistema o una identidad asignada por el usuario para Azure SignalR Service.

  2. Conceda el permiso de lectura de secreto para la identidad administrada en las directivas de acceso de Key Vault. Consulte Asignación de una directiva de acceso de Key Vault mediante Azure Portal

Actualmente, esta característica se puede usar en los escenarios siguientes:

Pasos siguientes