Az App Service vagy az Azure Functions alkalmazás konfigurálása a Microsoft Entra bejelentkezési funkció használatára

Válassza ki a másik hitelesítési szolgáltatót, hogy ráugorjon.

• Microsoft Entra
• Facebook
• Google
• Twitter
• OpenID Csatlakozás szolgáltató
• Bejelentkezés az Apple-lel (előzetes verzió)

Ez a cikk bemutatja, hogyan konfigurálhatja a hitelesítést Azure-alkalmazás szolgáltatáshoz vagy az Azure Functionshez, hogy az alkalmazás a Microsoft Identitásplatform (Microsoft Entra) hitelesítésszolgáltatójával jelentkezzen be a felhasználókba.

Bérlő kiválasztása az alkalmazás és felhasználói számára

Mielőtt az alkalmazás bejelentkezhet a felhasználókba, először regisztrálnia kell azt egy munkaerőben vagy egy külső bérlőben. Ha az alkalmazást elérhetővé teszi az alkalmazottak vagy üzleti vendégek számára, regisztrálja az alkalmazást egy munkaerő-bérlőben. Ha az alkalmazás ügyfelek és üzleti ügyfelek számára készült, regisztrálja azt egy külső bérlőben.

1. Jelentkezzen be az Azure Portalra , és lépjen az alkalmazáshoz.

2. Az alkalmazás bal oldali menüjében válassza a Hitelesítés, majd az Identitásszolgáltató hozzáadása lehetőséget.

3. Az Identitásszolgáltató hozzáadása lapon válassza a Microsoftot identitásszolgáltatóként a Microsoft és a Microsoft Entra-identitások bejelentkezéséhez.

4. Bérlőtípus esetén válassza a Munkaerő konfiguráció (jelenlegi bérlő) lehetőséget az alkalmazottak és az üzleti vendégek számára, vagy válassza a Külső konfiguráció a fogyasztók és az üzleti ügyfelek számára lehetőséget.

Az alkalmazásregisztráció kiválasztása

Az App Service-hitelesítés funkció automatikusan létrehozhat egy alkalmazásregisztrációt, vagy használhat egy külön létrehozott regisztrációt, amelyet Ön vagy egy címtáradminisztrátor hozott létre.

Új alkalmazásregisztráció automatikus létrehozása, kivéve, ha külön kell létrehoznia egy alkalmazásregisztrációt. Ha szeretné, később testre szabhatja az alkalmazásregisztrációt a Microsoft Entra felügyeleti központban .

A meglévő alkalmazásregisztráció használatának leggyakoribb esetei a következő helyzetek:

• A fiókja nem rendelkezik engedélyekkel alkalmazásregisztrációk létrehozásához a Microsoft Entra-bérlőben.
• Egy másik Microsoft Entra-bérlőtől származó alkalmazásregisztrációt szeretne használni, mint amelyikben az alkalmazás található.
• Az új regisztráció létrehozásának lehetősége nem érhető el a kormányzati felhők számára.

Munkaerő konfigurálása

Hozzon létre és használjon új alkalmazásregisztrációt , vagy használjon külön létrehozott meglévő regisztrációt.

1. lehetőség: Új alkalmazásregisztráció létrehozása és használata

Ezt a lehetőséget csak akkor használja, ha külön kell létrehoznia egy alkalmazásregisztrációt. Az alkalmazásregisztrációt testre szabhatja a Microsoft Entra-ban a létrehozásuk után.

Feljegyzés

Az új regisztráció automatikus létrehozásának lehetősége nem érhető el a kormányzati felhők számára. Ehelyett külön definiáljon egy regisztrációt.

Adja meg az új alkalmazásregisztráció nevét .

Válassza ki a támogatott fióktípust:

• Aktuális bérlő – Egyetlen bérlő. Csak ebben a szervezeti címtárban lévő fiókok. A címtárban lévő összes felhasználói és vendégfiók használhatja az alkalmazást vagy az API-t. Ezt a lehetőséget akkor használja, ha a célközönség a szervezeten belül van.
• Bármely Microsoft Entra-címtár – Több-bérlős. Bármely szervezeti címtárban lévő fiókok. A Microsofttól munkahelyi vagy iskolai fiókkal rendelkező összes felhasználó használhatja az alkalmazást vagy az API-t. Ide tartoznak az Office 365-öt használó iskolák és vállalkozások. Ezt a lehetőséget akkor használhatja, ha a célközönség üzleti vagy oktatási ügyfelek, és lehetővé teszi a több-bérlősséget.
• Bármely Microsoft Entra címtár és személyes Microsoft-fiók. Bármely szervezeti címtárban és személyes Microsoft-fiókban (például Skype, Xbox) található fiókok. Minden munkahelyi vagy iskolai vagy személyes Microsoft-fiókkal rendelkező felhasználó használhatja az alkalmazást vagy az API-t. Ide tartoznak az Office 365-öt használó iskolák és vállalkozások, valamint az olyan szolgáltatásokba való bejelentkezéshez használt személyes fiókok, mint az Xbox és a Skype. Ezzel a beállítással a Microsoft-identitások legszélesebb halmazát célozhatja meg, és engedélyezheti a több-bérlős használatot.
• Csak személyes Microsoft-fiókok. Személyes fiókok, amelyek olyan szolgáltatásokba való bejelentkezéshez használatosak, mint az Xbox és a Skype. Ezzel a beállítással a Microsoft-identitások legszélesebb halmazát célozhatja meg.

Ha szeretné, később módosíthatja a regisztráció nevét vagy a támogatott fióktípusokat.

Az ügyfél titkos kódja pont-ragadós alkalmazásbeállításként jön létre.MICROSOFT_PROVIDER_AUTHENTICATION_SECRET Ezt a beállítást később frissítheti a Key Vault-hivatkozások használatára, ha az Azure Key Vaultban szeretné kezelni a titkos kulcsokat.

2. lehetőség: Külön létrehozott meglévő regisztráció használata

Vagy:

• Válassza a Meglévő alkalmazásregisztráció kiválasztása lehetőséget ebben a könyvtárban , és válasszon egy alkalmazásregisztrációt a legördülő listából.
• Válassza a Meglévő alkalmazásregisztráció részleteinek megadása lehetőséget, és adja meg a következőt:
  • Alkalmazás (ügyfél) azonosítója.
  • Titkos ügyfélkód (ajánlott). Titkos érték, amelyet az alkalmazás a jogkivonat kérésekor használ az identitás igazolására. Ez az érték az alkalmazás konfigurációjában egy pont-ragadós alkalmazásbeállításként lesz mentve MICROSOFT_PROVIDER_AUTHENTICATION_SECRET. Ha az ügyfél titkos kódja nincs beállítva, a szolgáltatás bejelentkezési műveletei az OAuth 2.0 implicit engedélyezési folyamatot használják, ami nem* ajánlott.
  • Kiállító URL-címe, amely az űrlapot <authentication-endpoint>/<tenant-id>/v2.0veszi fel. Cserélje le <authentication-endpoint> a felhőkörnyezetre jellemző hitelesítési végpontértékre. Egy globális Azure-beli munkaerő-bérlő például a "https://login.microsoftonline.com" hitelesítési végpontként.

Ha manuálisan kell létrehoznia egy alkalmazásregisztrációt egy munkaerő-bérlőben, kövesse az alkalmazás regisztrálását rövid útmutatóban. A regisztrációs folyamat során mindenképpen jegyezze fel az alkalmazás (ügyfél) azonosítóját és az ügyfél titkossági értékeit.

A regisztrációs folyamat során az Átirányítási URI-k szakaszban válassza a Web lehetőséget a platformhoz, és írja be a kívánt nevet<app-url>/.auth/login/aad/callback. Például: https://contoso.azurewebsites.net/.auth/login/aad/callback.

A létrehozás után módosítsa az alkalmazásregisztrációt:

1. A bal oldali navigációs sávon válassza az API-fájl>hozzáadása>mentésének felfedése lehetőséget. Ez az érték egyedileg azonosítja az alkalmazást, amikor erőforrásként használják, lehetővé téve a hozzáférést biztosító jogkivonatok lekérését. A létrehozott hatókörök előtagjaként használatos.

   Egybérlős alkalmazások esetében használhatja az alapértelmezett értéket, amely az űrlapon api://<application-client-id>található. Egy olvashatóbb URI-t is megadhat, például https://contoso.com/api a bérlő egyik ellenőrzött tartománya alapján. Több-bérlős alkalmazásokhoz egyéni URI-t kell megadnia. Az alkalmazásazonosító URI-k által elfogadott formátumokról az alkalmazásregisztrációk ajánlott eljárásainak hivatkozásában talál további információt.

2. Válassza a Hatókör hozzáadása lehetőséget.

   1. A Hatókör neve mezőbe írja be a user_impersonation.
   2. Ha engedélyezni szeretné a felhasználók számára a hatókörhöz való hozzájárulást, válassza ki a Rendszergazda és a felhasználókat.
   3. A szövegmezőkbe írja be a hozzájárulási hatókör nevét és leírását, amelyet a felhasználók látni szeretnének a hozzájárulási lapon. Adja meg például az Access-alkalmazás <nevét>.
   4. Válassza a Hatókör hozzáadása lehetőséget.

3. (Ajánlott) Ügyfélkód létrehozása:

   1. A bal oldali navigációs sávon válassza a Tanúsítványok > titkos ügyfélkulcsok>új ügyféltitkot.>
   2. Adja meg a leírást és a lejáratot, majd válassza a Hozzáadás lehetőséget.
   3. Az Érték mezőben másolja ki az ügyfél titkos kódjának értékét. A lapról való navigálás után nem jelenik meg újra.

4. (Nem kötelező) Több válasz URL-cím hozzáadásához válassza a Hitelesítés lehetőséget.

Külső konfiguráció

Hozzon létre és használjon új alkalmazásregisztrációt , vagy használjon külön létrehozott meglévő regisztrációt.

1. lehetőség: Új alkalmazásregisztráció létrehozása és használata

Ezt a lehetőséget csak akkor használja, ha külön kell létrehoznia egy alkalmazásregisztrációt. Az alkalmazásregisztrációt testre szabhatja a Microsoft Entra-ban a létrehozásuk után.

Új alkalmazásregisztráció létrehozásához válassza az Új alkalmazásregisztráció létrehozása lehetőséget.

1. Válasszon ki egy meglévő bérlőt, amelyet a legördülő listából szeretne használni, vagy válassza az Új létrehozása lehetőséget egy új külső bérlő létrehozásához.

Új külső bérlő létrehozása (nem kötelező)

A Bérlő létrehozása lapon adja hozzá a bérlő nevét és tartománynevét. Válasszon egy helyet , majd válassza a Véleményezés és létrehozás lehetőséget, majd a Létrehozás lehetőséget. A bérlőlétrehozás folyamata néhány percet vesz igénybe.

Bejelentkezés beállítása

1. Válassza a Konfigurálás lehetőséget az új bérlő külső hitelesítésének konfigurálásához.

2. Ekkor megnyílik az Ügyfélhitelesítés konfigurálása böngésző.

3. Válasszon ki egy felhasználói folyamatot a legördülő menüből, vagy válassza az Új létrehozása lehetőséget. A felhasználói folyamat határozza meg a külső felhasználók által használható bejelentkezési módszereket. Minden alkalmazáshoz csak egy felhasználói folyamat tartozhat, de ugyanazt a felhasználói folyamatot több alkalmazáshoz is felhasználhatja.

Új felhasználói folyamat létrehozása

1. Adja meg a felhasználói folyamat nevét.

2. Válassza ki a külső felhasználók bejelentkezési módszerét. Az új bérlőben már konfigurálva van az e-mail és a jelszó, valamint az e-mail és az egyszeri pin-kód. Konfigurálhatja a Google-t vagy konfigurálhatja a Facebookot identitásszolgáltatókként is.

3. Válassza a Létrehozás lehetőséget a felhasználói folyamat létrehozásához.

A védjegyzés testreszabása

1. Válassza a Tovább gombot a márkajelzés testreszabásához.

2. Adja hozzá az emblémát, válasszon egy háttérszínt, és válasszon egy bejelentkezési elrendezést.

3. Válassza a Tovább és az Igen lehetőséget, frissítse a módosításokat a védjegyzési módosítások elfogadásához.

4. Válassza a Konfigurálás lehetőséget a Véleményezés lapon a külső bérlő frissítésének megerősítéséhez.

5. A böngésző ismét megnyílik az Identitásszolgáltató hozzáadása lapra.

2. lehetőség: Külön létrehozott meglévő regisztráció használata

Válassza a Meglévő alkalmazásregisztráció részleteinek megadása lehetőséget, és adja meg a következőt: - Alkalmazás (ügyfél) azonosítója – Ügyfél titkos kódja – Kiállító URL-címe

Ha manuálisan kell létrehoznia egy alkalmazásregisztrációt egy külső bérlőben, kövesse az alkalmazás regisztrálását rövid útmutatóban.

A regisztrációs folyamat során az Átirányítási URI-k szakaszban válassza a Web lehetőséget a platformhoz, és írja be a kívánt nevet<app-url>/.auth/login/aad/callback. Például: https://contoso.azurewebsites.net/.auth/login/aad/callback.

A létrehozás után módosítsa az alkalmazásregisztrációt:

1. A bal oldali navigációs sávon válassza az API-fájl>hozzáadása>mentésének felfedése lehetőséget. Ez az érték egyedileg azonosítja az alkalmazást, amikor erőforrásként használják, lehetővé téve a hozzáférést biztosító jogkivonatok lekérését. A létrehozott hatókörök előtagjaként használatos.

   Egybérlős alkalmazások esetében használhatja az alapértelmezett értéket, amely az űrlapon api://<application-client-id>található. Egy olvashatóbb URI-t is megadhat, például https://contoso.com/api a bérlő egyik ellenőrzött tartománya alapján. Több-bérlős alkalmazások esetén egyéni URI-t kell megadnia. Az alkalmazásazonosító URI-k által elfogadott formátumokról az alkalmazásregisztrációk ajánlott eljárásainak hivatkozásában talál további információt.

2. Válassza a Hatókör hozzáadása lehetőséget.

   1. A Hatókör neve mezőbe írja be a user_impersonation.
   2. Ha engedélyezni szeretné a felhasználók számára a hatókörhöz való hozzájárulást, válassza ki a Rendszergazda és a felhasználókat.
   3. A szövegmezőkbe írja be a hozzájárulási hatókör nevét és leírását, amelyet a felhasználók látni szeretnének a hozzájárulási lapon. Adja meg például az Access-alkalmazás <nevét>.
   4. Válassza a Hatókör hozzáadása lehetőséget.

3. (Nem kötelező) Ügyfélkód létrehozása:

   1. A bal oldali navigációs sávon válassza a Tanúsítványok > titkos ügyfélkulcsok>új ügyféltitkot.>
   2. Adja meg a leírást és a lejáratot, majd válassza a Hozzáadás lehetőséget.
   3. Az Érték mezőben másolja ki az ügyfél titkos kódjának értékét. A lapról való navigálás után nem jelenik meg újra.

4. (Nem kötelező) Több válasz URL-cím hozzáadásához válassza a Hitelesítés lehetőséget.

További ellenőrzések konfigurálása

Konfiguráljon további ellenőrzéseket, amelyek meghatározzák, hogy mely kérések férhetnek hozzá az alkalmazáshoz. Ezt a viselkedést most testre szabhatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési képernyőn a Hitelesítés beállításai melletti Szerkesztés gombra kattintva.

Ügyfélalkalmazás-követelmény esetén válassza ki, hogy:

• Csak ebből az alkalmazásból érkező kérések engedélyezése
• Adott ügyfélalkalmazások kérelmeinek engedélyezése
• Bármely alkalmazásból érkező kérések engedélyezése (nem ajánlott)

Identitáskövetelmény esetén válassza ki, hogy:

• Kérések engedélyezése bármilyen identitásból
• Adott identitásokból érkező kérések engedélyezése

Bérlői követelmény esetén válassza ki, hogy:

• Csak a kiállító bérlőtől érkező kérések engedélyezése
• Adott bérlőktől érkező kérések engedélyezése
• Alapértelmezett korlátozások használata a kiállító alapján

Előfordulhat, hogy az alkalmazásnak további engedélyezési döntéseket kell hoznia a kódban. További információ: Beépített engedélyezési szabályzat használata.

Hitelesítési beállítások konfigurálása

Ezek a beállítások határozzák meg, hogy az alkalmazás hogyan reagál a nem hitelesített kérelmekre, és az alapértelmezett beállítások átirányítják az összes kérést az új szolgáltatóval való bejelentkezéshez. Ezt a viselkedést most módosíthatja, vagy később módosíthatja ezeket a beállításokat a fő hitelesítési képernyőn a Hitelesítés beállításai melletti Szerkesztés gombra kattintva. További információ ezekről a lehetőségekről: Hitelesítési folyamat.

A hozzáférés korlátozása érdekében döntse el, hogy:

• Hitelesítés megkövetelése
• Hitelesítés nélküli hozzáférés engedélyezése

Hitelesítés nélküli kérések esetén

• HTTP 302 Találatok átirányítása: webhelyekhez ajánlott
• HTTP 401 – Nem engedélyezett: API-khoz ajánlott
• HTTP 403 – Tiltott
• HTTP 404 Nem található

Válassza a Token Store (ajánlott) lehetőséget. A tokentároló összegyűjti, tárolja és frissíti az alkalmazáshoz tartozó jogkivonatokat. Ezt később letilthatja, ha az alkalmazásnak nincs szüksége jogkivonatokra, vagy optimalizálnia kell a teljesítményt.

Az identitásszolgáltató hozzáadása

Ha a munkaerő-konfigurációt választotta, válassza a Tovább: Engedélyek lehetőséget, és hozzáadhatja az alkalmazáshoz szükséges Microsoft Graph-engedélyeket. Ezek hozzá lesznek adva az alkalmazásregisztrációhoz, de később is módosíthatja őket. Ha külső konfigurációt választott, később hozzáadhat Microsoft Graph-engedélyeket.

Válassza a Hozzáadás lehetőséget.

Most már készen áll a Microsoft Identitásplatform használatára az alkalmazásban való hitelesítéshez. A szolgáltató megjelenik a Hitelesítés képernyőn. Innen szerkesztheti vagy törölheti ezt a szolgáltatói konfigurációt.

Az Azure Storage-hoz és a Microsoft Graphhoz hozzáférő webalkalmazáshoz való Microsoft Entra-bejelentkezés konfigurálására vonatkozó példaért tekintse meg ezt az oktatóanyagot.

Kérelmek engedélyezése

Alapértelmezés szerint az App Service-hitelesítés csak a hitelesítést kezeli, és megállapítja, hogy a hívó ki mondja őket. Az engedélyezés, annak meghatározása, hogy a hívónak hozzáféréssel kell-e rendelkeznie egy erőforráshoz, további lépés a hitelesítésen túl. Ezekről a fogalmakról az Microsoft Identitásplatform engedélyezési alapjaiból tudhat meg többet.

Az alkalmazás kódban hozhat engedélyezési döntéseket. Az App Service-hitelesítés bizonyos beépített ellenőrzéseket biztosít, amelyek segíthetnek, de nem feltétlenül elegendőek az alkalmazás engedélyezési igényeinek kielégítéséhez.

Tipp.

A több-bérlős alkalmazásoknak a folyamat részeként ellenőriznie kell a kérés kiállítóját és bérlőazonosítóját, hogy az értékek engedélyezve legyenek. Ha az App Service-hitelesítés több-bérlős forgatókönyvhöz van konfigurálva, nem ellenőrzi, hogy melyik bérlőtől származik a kérés. Előfordulhat, hogy egy alkalmazásnak adott bérlőkre kell korlátozódnia, attól függően, hogy a szervezet regisztrált-e például a szolgáltatásra. Tekintse meg a Microsoft Identitásplatform több-bérlős útmutatót.

Érvényesítések végrehajtása alkalmazáskódból

Amikor engedélyezési ellenőrzéseket végez az alkalmazáskódban, használhatja az App Service Authentication által elérhető jogcímadatokat. Az injektált x-ms-client-principal fejléc egy Base64 kódolású JSON-objektumot tartalmaz, amely a hívóra vonatkozó jogcímeket tartalmazza. Alapértelmezés szerint ezek a jogcímek egy jogcímleképezésen mennek keresztül, így előfordulhat, hogy a jogcímnevek nem mindig egyeznek a jogkivonatban látható névvel. A jogcím például tid erre van megfeleltetve http://schemas.microsoft.com/identity/claims/tenantid .

A mögöttes hozzáférési jogkivonattal közvetlenül is dolgozhat az injektált x-ms-token-aad-access-token fejlécből.

Beépített engedélyezési szabályzat használata

A létrehozott alkalmazásregisztráció hitelesíti a Microsoft Entra-bérlő bejövő kéréseit. Alapértelmezés szerint a bérlőn belül bárki hozzáférhet az alkalmazáshoz, ami sok alkalmazás esetében rendben van. Egyes alkalmazásoknak azonban az engedélyezési döntések meghozatalával tovább kell korlátozniuk a hozzáférést. Az alkalmazáskód gyakran a legjobb hely az egyéni engedélyezési logika kezeléséhez. Gyakori forgatókönyvek esetén azonban a Microsoft Identitásplatform beépített ellenőrzéseket biztosít, amelyekkel korlátozhatja a hozzáférést.

Ez a szakasz bemutatja, hogyan engedélyezheti a beépített ellenőrzéseket az App Service hitelesítési V2 API-val. Jelenleg a beépített ellenőrzések konfigurálásának egyetlen módja az Azure Resource Manager-sablonok vagy a REST API.

Az API-objektumon belül a Microsoft Entra identitásszolgáltató konfigurációja tartalmaz egy szakaszt validation , amely az alábbi struktúrához hasonlóan tartalmazhat objektumot defaultAuthorizationPolicy :

{
    "validation": {
        "defaultAuthorizationPolicy": {
            "allowedApplications": [],
            "allowedPrincipals": {
                "identities": []
            }
        }
    }
}

Tulajdonság	Leírás
defaultAuthorizationPolicy	Az alkalmazás eléréséhez teljesítendő követelmények csoportosítása. A hozzáférés az egyes konfigurált tulajdonságok logikai alapján történik AND . Amikor allowedApplications és allowedPrincipals mindkettő konfigurálva van, a bejövő kérésnek mindkét követelménynek meg kell felelnie ahhoz, hogy elfogadhassa.
allowedApplications	Az alkalmazásba behívó ügyfélerőforrást képviselő sztringalkalmazás-ügyfélazonosítók engedélyezési listája. Ha ez a tulajdonság egyetlen tömbként van konfigurálva, csak a listában megadott alkalmazás által beszerzett jogkivonatok lesznek elfogadva. Ez a szabályzat kiértékeli a appid bejövő jogkivonatot vagy azp jogcímet, amelynek hozzáférési jogkivonatnak kell lennie. Tekintse meg a Microsoft Identitásplatform jogcímek hivatkozását.
allowedPrincipals	Az ellenőrzések csoportosítása, amelyek meghatározzák, hogy a bejövő kérés által képviselt tag hozzáfér-e az alkalmazáshoz. allowedPrincipals Az elégedettség a konfigurált tulajdonságokon alapuló logikai OR értékeken alapul.
identities (alatt allowedPrincipals)	A hozzáféréssel rendelkező felhasználókat vagy alkalmazásokat képviselő sztringobjektum-azonosítók engedélyezési listája. Ha ez a tulajdonság egyetlen tömbként van konfigurálva, a allowedPrincipals követelmény akkor teljesíthető, ha a kérelem által képviselt felhasználó vagy alkalmazás szerepel a listában. Az identitások listájában legfeljebb 500 karakter lehet. Ez a szabályzat kiértékeli a oid bejövő jogkivonat jogcímét. Tekintse meg a Microsoft Identitásplatform jogcímek hivatkozását.

Emellett néhány ellenőrzés konfigurálható alkalmazásbeállítással, függetlenül attól, hogy milyen API-verziót használ. Az WEBSITE_AUTH_AAD_ALLOWED_TENANTS alkalmazásbeállítás legfeljebb 10 bérlőazonosító vesszővel tagolt listájával konfigurálható (például A "559a2f9c-c6f2-4d31-b8d6-5ad1a13f8330,5693f64a-3ad5-4be7-b846-e9d1141bcebcebc") megköveteli, hogy a bejövő jogkivonat a jogcím által tid megadott egyik megadott bérlőtől származzon. Az WEBSITE_AUTH_AAD_REQUIRE_CLIENT_SERVICE_PRINCIPAL alkalmazásbeállítás "true" vagy "1" értékre konfigurálható, hogy a bejövő jogkivonatnak tartalmaznia kell egy jogcímet oid . Ez a beállítás figyelmen kívül lesz hagyva, és igazként lesz kezelve, ha allowedPrincipals.identities konfigurálva van (mivel a oid jogcímet a megadott identitáslistán ellenőrzi a rendszer).

A beépített ellenőrzések sikertelen kérései HTTP-választ 403 Forbidden kapnak.

Ügyfélalkalmazások konfigurálása az App Service eléréséhez

A korábbi szakaszokban regisztrálta az App Service-t vagy az Azure-függvényt a felhasználók hitelesítéséhez. Ez a szakasz bemutatja, hogyan regisztrálhat natív ügyfeleket vagy démonalkalmazásokat a Microsoft Entra-ban, hogy hozzáférést kérhessenek az App Service által a felhasználók vagy maguk nevében közzétett API-khoz, például egy N szintű architektúrában. Ha csak a felhasználókat szeretné hitelesíteni, nem szükséges elvégeznie a szakasz lépéseit.

Natív ügyfélalkalmazás

Regisztrálhat natív ügyfeleket, hogy hozzáférést kérjen az App Service-alkalmazás API-ihoz egy bejelentkezett felhasználó nevében.

1. A portál menüjében válassza a Microsoft Entra lehetőséget.

2. A bal oldali navigációs sávon válassza a Alkalmazásregisztrációk> New regisztrációt.

3. Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.

4. Az Átirányítási URI-ban válassza a Nyilvános ügyfél (mobil & asztali) lehetőséget, és írja be az URL-címet<app-url>/.auth/login/aad/callback. Például: https://contoso.azurewebsites.net/.auth/login/aad/callback.

5. Válassza ki a pénztárgépet.

6. Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítójának értékét.

   Feljegyzés

   Microsoft Store-alkalmazások esetén használja inkább a csomag SID-ét URI-ként.

7. A bal oldali navigációs sávon válassza az API-engedélyeket>: Engedély>hozzáadása saját API-khoz.

8. Válassza ki az App Service-alkalmazáshoz korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáadta a user_impersonation hatókört az alkalmazásregisztrációhoz.

9. A Delegált engedélyek területen válassza a user_impersonation, majd az Engedélyek hozzáadása lehetőséget.

Most már konfigurált egy natív ügyfélalkalmazást, amely hozzáférést kérhet az App Service-alkalmazáshoz egy felhasználó nevében.

Démonügyfél-alkalmazás (szolgáltatásközi hívások)

Az N szintű architektúrákban az ügyfélalkalmazás jogkivonatot szerezhet be egy App Service- vagy függvényalkalmazás meghívásához az ügyfélalkalmazás nevében (nem egy felhasználó nevében). Ez a forgatókönyv olyan nem interaktív démonalkalmazások esetében hasznos, amelyek bejelentkezett felhasználó nélkül hajtanak végre feladatokat. A szabványos OAuth 2.0 ügyfél-hitelesítő adatokat használja.

1. A portál menüjében válassza a Microsoft Entra lehetőséget.
2. A bal oldali navigációs sávon válassza a Alkalmazásregisztrációk> New regisztrációt.
3. Az Alkalmazás regisztrálása lapon adja meg az alkalmazásregisztráció nevét.
4. Démonalkalmazás esetén nincs szükség átirányítási URI-ra, hogy üresen tarthassa azt.
5. Válassza ki a pénztárgépet.
6. Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazás (ügyfél) azonosítójának értékét.
7. A bal oldali navigációs sávon válassza a Tanúsítványok > titkos ügyfélkulcsok>új ügyféltitkot.>
8. Adja meg a leírást és a lejáratot, majd válassza a Hozzáadás lehetőséget.
9. Az Érték mezőben másolja ki az ügyfél titkos kódjának értékét. A lapról való navigálás után nem jelenik meg újra.

Most már kérheti a hozzáférési jogkivonatot az ügyfélazonosító és az ügyfél titkos kódjával , ha a paramétert resource a célalkalmazás alkalmazásazonosítójának URI-jára állítja. Az eredményül kapott hozzáférési jogkivonat ezután a szabványos OAuth 2.0 engedélyezési fejléc használatával jeleníthető meg a célalkalmazás számára, és az App Service-hitelesítés a szokásos módon érvényesíti és használja a jogkivonatot, hogy a hívó (ebben az esetben egy alkalmazás, nem felhasználó) hitelesítve legyen.

Ez jelenleg lehetővé teszi , hogy a Microsoft Entra-bérlőben lévő ügyfélalkalmazások hozzáférési jogkivonatot kérjenek, és hitelesítsék magukat a célalkalmazásban. Ha azt is szeretné, hogy az engedélyezés csak bizonyos ügyfélalkalmazások engedélyezését engedélyezze, további konfigurációt kell végrehajtania.

1. Adjon meg egy alkalmazásszerepkört az alkalmazásregisztráció jegyzékében, amely a védeni kívánt App Service- vagy függvényalkalmazást jelöli.
2. A engedélyezni kívánt ügyfelet képviselő alkalmazásregisztrációban válassza az API-engedélyeket>: Engedély>hozzáadása Saját API-k.
3. Válassza ki a korábban létrehozott alkalmazásregisztrációt. Ha nem látja az alkalmazásregisztrációt, győződjön meg arról, hogy hozzáadott egy alkalmazásszerepkört.
4. Az Alkalmazásengedélyek területen válassza ki a korábban létrehozott alkalmazásszerepkört, majd válassza az Engedélyek hozzáadása lehetőséget.
5. Győződjön meg arról, hogy a rendszergazdai hozzájárulás megadását választva engedélyezi az ügyfélalkalmazásnak az engedély kérését.
6. Az előző forgatókönyvhöz hasonlóan (a szerepkörök hozzáadása előtt) most már kérhet hozzáférési jogkivonatot ugyanahhoz a célhozresource, és a hozzáférési jogkivonat tartalmazza roles az ügyfélalkalmazás számára engedélyezett alkalmazásszerepköröket tartalmazó jogcímet.
7. A cél App Service- vagy függvényalkalmazás-kódon belül ellenőrizheti, hogy a várt szerepkörök szerepelnek-e a jogkivonatban (ezt az App Service-hitelesítés nem hajtja végre). További információ: Access felhasználói jogcímek.

Most már konfigurált egy démonügyfél-alkalmazást, amely a saját identitásával férhet hozzá az App Service-alkalmazáshoz.

Ajánlott eljárások

A hitelesítés beállításához használt konfigurációtól függetlenül az alábbi ajánlott eljárások védik a bérlőt és az alkalmazásokat:

• Konfiguráljon minden App Service-alkalmazást saját alkalmazásregisztrációval a Microsoft Entra-ban.
• Adja meg minden App Service-alkalmazásnak a saját engedélyeit és hozzájárulását.
• Kerülje a környezetek közötti engedélymegosztást, használjon külön alkalmazásregisztrációkat a külön üzembehelyezési pontokhoz. Új kód tesztelése során ez a gyakorlat segíthet megelőzni az éles alkalmazást érintő problémákat.

Migrálás a Microsoft Graphra

Előfordulhat, hogy egyes régebbi alkalmazások az elavult Azure AD Graph függőségével lettek beállítva, amely a teljes kivonásra van ütemezve. Előfordulhat például, hogy az alkalmazás kódja Azure AD Graph-ot hívott, hogy ellenőrizze a csoporttagságokat egy köztes szoftverfolyamat engedélyezési szűrőjének részeként. Az alkalmazásoknak a Microsoft Entra által az Azure AD Graph elavulásának folyamatában megadott útmutatást követve kell a Microsoft Graph-ra váltaniuk. Az utasításokat követve előfordulhat, hogy módosítania kell az App Service-hitelesítés konfigurációját. Miután hozzáadta a Microsoft Graph-engedélyeket az alkalmazásregisztrációhoz, a következőket teheti:

1. Frissítse a kiállító URL-címét , hogy tartalmazza a "/v2.0" utótagot, ha még nem tette meg.

2. Távolítsa el az Azure AD Graph-engedélyekre vonatkozó kéréseket a bejelentkezési konfigurációból. A módosítani kívánt tulajdonságok a használt felügyeleti API melyik verziójától függnek:

   • Ha a V1 API-t (/authsettings) használja, az a additionalLoginParams tömbben lesz.
   • Ha a V2 API-t (/authsettingsV2) használja, az a loginParameters tömbben lesz.

   El kell távolítania például az ";"https://graph.windows.net" kifejezésre mutató hivatkozásokat. Ez magában foglalja a resource paramétert (amelyet a "/v2.0" végpont nem támogat) vagy azOkat a hatóköröket, amelyeket kifejezetten az Azure AD Graph-ból kér.

   Emellett frissítenie kell a konfigurációt az alkalmazásregisztrációhoz beállított új Microsoft Graph-engedélyek lekéréséhez. Az .default hatókörrel sok esetben egyszerűsítheti ezt a beállítást. Ehhez adjon hozzá egy új bejelentkezési paramétert scope=openid profile email https://graph.microsoft.com/.default.

Ezekkel a módosításokkal, amikor az App Service-hitelesítés megpróbál bejelentkezni, a továbbiakban nem kér engedélyeket az Azure AD Graphhoz, hanem egy jogkivonatot kap a Microsoft Graphhoz. A jogkivonatnak az alkalmazáskódból való bármilyen használatát is frissíteni kell a Microsoft Entra által biztosított útmutatásnak megfelelően.

Következő lépések

• Az App Service-hitelesítés/engedélyezés áttekintése.
• Oktatóanyag: A felhasználók hitelesítése és engedélyezése a végfelhasználók számára a Azure-alkalmazás Szolgáltatásban

• Oktatóanyag: Felhasználók hitelesítése és engedélyezése egy olyan webalkalmazásban, amely hozzáfér az Azure Storage-hoz és a Microsoft Graphhoz
• Oktatóanyag: A felhasználók hitelesítése és engedélyezése a végfelhasználók számára a Azure-alkalmazás Szolgáltatásban