Felügyelt identitások az Azure SignalR Service-hez

  • Cikk

Az Azure SignalR Szolgáltatásban a Microsoft Entra ID-ból származó felügyelt identitást a következő célra használhatja:

  • Hozzáférési jogkivonatok beszerzése.
  • Titkos kódok elérése az Azure Key Vaultban.

A szolgáltatás csak egy felügyelt identitást támogat. Létrehozhat rendszer által hozzárendelt vagy felhasználó által hozzárendelt identitást is. A rendszer által hozzárendelt identitás dedikált az Azure SignalR Service-példányhoz, és a példány törlésekor törlődik. A felhasználó által hozzárendelt identitások kezelése az Azure SignalR-szolgáltatás erőforrásától függetlenül történik.

Ez a cikk bemutatja, hogyan hozhat létre felügyelt identitást az Azure SignalR Service-hez, és hogyan használhatja kiszolgáló nélküli helyzetekben.

Előfeltételek

Felügyelt identitás használatához a következő elemeknek kell rendelkeznie:

  • Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
  • Egy Azure SignalR service-erőforrás.
  • A elérni kívánt erőforrások, például egy Azure Key Vault-erőforrás.
  • Egy Azure Functions-alkalmazás (függvényalkalmazás).

Felügyelt identitás hozzáadása az Azure SignalR Szolgáltatáshoz

Felügyelt identitást az Azure Portalon vagy az Azure CLI-ben vehet fel az Azure SignalR Szolgáltatásba. Ez a cikk bemutatja, hogyan adhat hozzá felügyelt identitást az Azure SignalR Service-hez az Azure Portalon.

Rendszer által hozzárendelt identitás hozzáadása

Rendszer által hozzárendelt felügyelt identitás hozzáadása az Azure SignalR Service-példányhoz:

  1. Az Azure Portalon keresse meg az Azure SignalR Service-példányt.

  2. Válassza az Identitás lehetőséget.

  3. A Rendszer által hozzárendelt lapon kapcsolja be az Állapot beállítást.

    Screenshot that shows selections for adding a system-assigned identity in the portal.

  4. Válassza a Mentés parancsot.

  5. A módosítás megerősítéséhez válassza az Igen lehetőséget.

Felhasználó által hozzárendelt identitás hozzáadása

Ha felhasználó által hozzárendelt identitást szeretne hozzáadni az Azure SignalR Service-példányhoz, létre kell hoznia az identitást, majd hozzá kell adnia azt a szolgáltatáshoz.

  1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitáserőforrást az utasításoknak megfelelően.

  2. Az Azure Portalon keresse meg az Azure SignalR Service-példányt.

  3. Válassza az Identitás lehetőséget.

  4. A Felhasználó által hozzárendelt lapon válassza a Hozzáadás lehetőséget.

  5. A Felhasználó által hozzárendelt felügyelt identitások legördülő menüben válassza ki az identitást.

    Screenshot that shows selections for adding a user-assigned identity in the portal.

  6. Select Add.

Felügyelt identitás használata kiszolgáló nélküli forgatókönyvekben

Az Azure SignalR szolgáltatás egy teljes mértékben felügyelt szolgáltatás. Egy felügyelt identitás használatával szerez be egy hozzáférési jogkivonatot. Kiszolgáló nélküli esetekben a szolgáltatás hozzáadja a hozzáférési jogkivonatot a Authorization fejléchez egy felsőbb rétegbeli kérelemben.

Felügyelt identitás hitelesítésének engedélyezése a felsőbb réteg beállításaiban

Miután hozzáadott egy rendszer által hozzárendelt vagyfelhasználó által hozzárendelt identitást az Azure SignalR-szolgáltatáspéldányhoz, engedélyezheti a felügyelt identitás hitelesítését a felsőbb réteg végpontbeállításaiban:

  1. Az Azure Portalon keresse meg az Azure SignalR Service-példányt.

  2. Válassza a menü Beállítások pontját.

  3. Válassza a Kiszolgáló nélküli szolgáltatás módot.

  4. A Felsőbb rétegbeli URL-minta hozzáadása szövegmezőbe írja be a felsőbb rétegbeli végpont URL-mintáját. Lásd az URL-sablon beállításait.

  5. Válassza az Add one Upstream Setting (Felsőbb rétegbeli beállítás hozzáadása) lehetőséget, majd válassza ki a csillagot.

    Screenshot that shows Azure SignalR Service settings for adding an upstream URL pattern.

  6. A felsőbb rétegbeli Gépház konfigurálja a felsőbb rétegbeli végpont beállításait.

    Screenshot of upstream settings for Azure SignalR Service.

  7. A felügyelt identitáshitelesítési beállításokban a kibocsátott jogkivonat célközönsége számára megadhatja a célerőforrást. Az erőforrás jogcímgé válik aud a beszerzett hozzáférési jogkivonatban, amely az ellenőrzés részeként használható a felsőbb rétegbeli végpontokon. Az erőforrás a következő formátumok egyikében lehet:

    • A szolgáltatásnév alkalmazás-(ügyfél-) azonosítója.
    • A szolgáltatásnév alkalmazásazonosítójának URI-ja.

    Fontos

    Üres erőforrás használatával jogkivonat-célokat szerezhet be a Microsoft Graphhoz. A Microsoft Graph a maihoz hasonlóan engedélyezi a tokentitkosítást, így az alkalmazás nem hitelesítheti a jogkivonatot a Microsoft Graphon kívül. A gyakori gyakorlatban mindig létre kell hoznia egy szolgáltatásnevet, amely a felsőbb rétegbeli célokat képviseli. És állítsa be a létrehozott szolgáltatásnév alkalmazásazonosítóját vagy alkalmazásazonosítóját .

Hitelesítés függvényalkalmazásban

Az Azure Portal használatával egyszerűen beállíthatja a hozzáférés-ellenőrzést egy függvényalkalmazáshoz kódmódosítások nélkül:

  1. Az Azure Portalon nyissa meg a függvényalkalmazást.

  2. Válassza a Hitelesítés lehetőséget a menüben.

  3. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

  4. Az Alapszintű beállítások lapon, az Identitásszolgáltató legördülő listában válassza a Microsoftot.

  5. Ha a kérés hitelesítése nem történik meg, válassza a Bejelentkezés a Microsoft Entra-azonosítóval lehetőséget.

  6. Az új regisztráció létrehozásának lehetősége alapértelmezés szerint be van jelölve. Módosíthatja a regisztráció nevét. A Microsoft Entra-szolgáltató engedélyezéséről további információt az App Service vagy az Azure Functions alkalmazás konfigurálása Microsoft Entra-azonosítós bejelentkezés használatára című témakörben talál.

    Screenshot that shows basic information for adding an identity provider.

  7. Nyissa meg az Azure SignalR szolgáltatást, és kövesse a lépéseket egy rendszer által hozzárendelt identitás vagy felhasználó által hozzárendelt identitás hozzáadásához.

  8. Az Azure SignalR Service-ben lépjen a felsőbb réteg beállításaira, majd válassza a Felügyelt identitás használata és a Kijelölés a meglévő alkalmazások közül lehetőséget. Válassza ki a korábban létrehozott alkalmazást.

Miután konfigurálta ezeket a beállításokat, a függvényalkalmazás elutasítja a hozzáférési jogkivonat nélküli kéréseket a fejlécben.

Hozzáférési jogkivonatok ellenőrzése

Ha nem webalkalmazást vagy Azure-függvényt használ, a jogkivonatot is érvényesítheti.

A fejlécben lévő Authorization jogkivonat egy Microsoft Identitásplatform hozzáférési jogkivonat.

A hozzáférési jogkivonatok érvényesítéséhez az alkalmazásnak ellenőriznie kell a célközönséget és az aláíró jogkivonatokat is. Ezeket a jogkivonatokat ellenőrizni kell az OpenID felderítési dokumentumban szereplő értékekkel. Például tekintse meg a dokumentum bérlőfüggetlen verzióját.

A Microsoft Entra köztes szoftver beépített képességekkel rendelkezik a hozzáférési jogkivonatok érvényesítéséhez. A Microsoft Identitásplatform kódminták között böngészve megtalálhatja a kívánt nyelvet.

A jogkivonat-ellenőrzés kezelését bemutató kódtárak és kódminták érhetők el. A JSON Web Token (JWT) érvényesítéséhez számos nyílt forráskódú partnerkódtár is elérhető. Szinte minden platformhoz és nyelvhez van legalább egy lehetőség. A Microsoft Entra hitelesítési kódtárairól és a kódmintákról további információt Microsoft Identitásplatform hitelesítési kódtárakban talál.

Felügyelt identitás használata Key Vault-referenciaként

Az Azure SignalR Service hozzáfér a Key Vaulthoz, hogy titkos kulcsokat szerezzen be a felügyelt identitás használatával.

  1. Adjon hozzá egy rendszer által hozzárendelt identitást vagy felhasználó által hozzárendelt identitást az Azure SignalR Service-példányhoz.
  2. Titkos olvasási engedélyt adhat a felügyelt identitáshoz a Key Vault hozzáférési szabályzataiban. Lásd: Key Vault hozzáférési szabályzat hozzárendelése az Azure Portal használatával.

Ezzel a funkcióval jelenleg egy titkos kódra hivatkozhat a felsőbb rétegbeli URL-mintában.

Következő lépések