Felügyelt identitások az Azure Web PubSub Service-hez

  • Cikk

Ez a cikk bemutatja, hogyan hozhat létre felügyelt identitást az Azure Web PubSub Service-hez, és hogyan használhatja azt.

Fontos

Az Azure Web PubSub Service csak egy felügyelt identitást támogat. Ez azt jelenti, hogy hozzáadhat egy rendszer által hozzárendelt identitást vagy egy felhasználó által hozzárendelt identitást.

Rendszer által hozzárendelt identitás hozzáadása

Ha egy felügyelt identitást szeretne beállítani az Azure Portalon, először létre kell hoznia egy Azure Web PubSub Service-példányt, majd engedélyeznie kell a funkciót.

  1. Hozzon létre egy Azure Web PubSub Service-példányt a portálon a szokásos módon. Keresse meg a portálon.

  2. Válassza az Identitás lehetőséget.

  3. A Rendszer által hozzárendelt lapon kapcsolja be az Állapot beállítást. Válassza a Mentés parancsot.

    Add a system-assigned identity in the portal

Felhasználó által hozzárendelt identitás hozzáadása

Egy Azure Web PubSub Service-példány felhasználó által hozzárendelt identitással való létrehozásához létre kell hoznia az identitást, majd hozzá kell adnia annak erőforrás-azonosítóját a szolgáltatáshoz.

  1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitáserőforrást az utasításoknak megfelelően.

  2. Hozzon létre egy Azure Web PubSub Service-példányt a portálon a szokásos módon. Keresse meg a portálon.

  3. Válassza az Identitás lehetőséget.

  4. A Felhasználó által hozzárendelt lapon válassza a Hozzáadás lehetőséget.

  5. Keresse meg a korábban létrehozott identitást, és jelölje ki. Select Add.

    Add a user-assigned identity in the portal

Felügyelt identitás használata ügyfélesemény-forgatókönyvekben

Az Azure Web PubSub Service egy teljes mértékben felügyelt szolgáltatás, így nem használhat felügyelt identitást a jogkivonatok manuális lekéréséhez. Ehelyett, amikor az Azure Web PubSub Service eseményeket küld az eseménykezelőnek, a felügyelt identitás használatával szerez be egy hozzáférési jogkivonatot. A szolgáltatás ezután beállítja a hozzáférési jogkivonatot a Authorization http-kérelem fejlécébe.

Felügyelt identitás hitelesítésének engedélyezése az eseménykezelő beállításaiban

  1. Adjon hozzá egy rendszer által hozzárendelt vagy felhasználó által hozzárendelt identitást.

  2. Lépjen a Hub Gépház konfigurálásához, és adjon hozzá vagy szerkesztsen egy eseménykezelőt a felsőbb rétegben.

    msi-setting

  3. A Hitelesítés szakaszban válassza a Hitelesítés használata lehetőséget, és jelölje be A kibocsátott jogkivonat célközönségének megadása jelölőnégyzetet. A célközönség lesz a aud beszerzett hozzáférési jogkivonat jogcíme, amely az eseménykezelőben az ellenőrzés részeként használható. Az alábbiak közül választhat:

    • Válasszon a meglévő Microsoft Entra-alkalmazások közül. A rendszer a kiválasztott alkalmazásazonosítót használja.
    • A szolgáltatásnév alkalmazásazonosítójának URI-ja.

    Fontos

    Üres erőforrás használatával jogkivonat-célokat szerezhet be a Microsoft Graphhoz. A Microsoft Graph a maihoz hasonlóan engedélyezi a tokentitkosítást, így az alkalmazás nem hitelesítheti a jogkivonatot a Microsoft Graphon kívül. A gyakori gyakorlatban mindig létre kell hoznia egy szolgáltatásnevet, amely a felsőbb rétegbeli célokat képviseli. És állítsa be a létrehozott szolgáltatásnév alkalmazásazonosítóját vagy alkalmazásazonosítóját .

Hitelesítés függvényalkalmazásban

Az Azure Portal használatával egyszerűen beállíthatja a hozzáférés-ellenőrzést egy függvényalkalmazáshoz kódmódosítások nélkül:

  1. Az Azure Portalon nyissa meg a függvényalkalmazást.

  2. Válassza a Hitelesítés lehetőséget a menüben.

  3. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

  4. Az Alapszintű beállítások lapon, az Identitásszolgáltató legördülő listában válassza a Microsoftot.

  5. Ha a kérés hitelesítése nem történik meg, válassza a Bejelentkezés a Microsoft Entra-azonosítóval lehetőséget.

  6. Az új regisztráció létrehozásának lehetősége alapértelmezés szerint be van jelölve. Módosíthatja a regisztráció nevét. A Microsoft Entra-szolgáltató engedélyezéséről további információt az App Service vagy az Azure Functions alkalmazás konfigurálása Microsoft Entra-azonosítós bejelentkezés használatára című témakörben talál.

    Screenshot that shows basic information for adding an identity provider.

  7. Nyissa meg az Azure SignalR szolgáltatást, és kövesse a lépéseket egy rendszer által hozzárendelt identitás vagy felhasználó által hozzárendelt identitás hozzáadásához.

  8. Az Azure SignalR Service-ben lépjen a felsőbb réteg beállításaira, majd válassza a Felügyelt identitás használata és a Kijelölés a meglévő alkalmazások közül lehetőséget. Válassza ki a korábban létrehozott alkalmazást.

Miután konfigurálta ezeket a beállításokat, a függvényalkalmazás elutasítja a hozzáférési jogkivonat nélküli kéréseket a fejlécben.

Hozzáférési jogkivonatok ellenőrzése

Ha nem webalkalmazást vagy Azure-függvényt használ, a jogkivonatot is érvényesítheti.

A fejlécben lévő Authorization jogkivonat egy Microsoft Identitásplatform hozzáférési jogkivonat.

A hozzáférési jogkivonatok érvényesítéséhez az alkalmazásnak ellenőriznie kell a célközönséget és az aláíró jogkivonatokat is. Ezeket az OpenID felderítési dokumentumban szereplő értékekkel kell ellenőrizni. Lásd például a dokumentum bérlőfüggetlen verzióját.

A Microsoft Entra köztes szoftver beépített képességekkel rendelkezik a hozzáférési jogkivonatok érvényesítéséhez. A minták között böngészve megtalálhatja az Ön által választott nyelvet.

Kódtárakat és kódmintákat biztosítunk, amelyek bemutatják a jogkivonatok érvényesítésének kezelését. A JSON Web Token (JWT) érvényesítéséhez több nyílt forráskódú partnerkódtár is elérhető. Szinte minden platformhoz és nyelvhez van legalább egy lehetőség. A Microsoft Entra engedélyezési kódtárairól és kódmintákról további információt Microsoft Identitásplatform hitelesítési kódtárakban talál.

Ha az eseménykezelő az Azure-függvényben vagy a Web Appsben üzemel, egyszerűen konfigurálhatja a Microsoft Entra-bejelentkezést.

Felügyelt identitás használata Key Vault-referenciaként

A Web PubSub Service hozzáférhet a Key Vaulthoz, hogy titkos kulcsokat szerezzen be a felügyelt identitás használatával.

  1. Adjon hozzá egy rendszer által hozzárendelt identitást vagy felhasználó által hozzárendelt identitást az Azure Web PubSub Service-hez.

  2. Titkos olvasási engedélyt adhat a felügyelt identitáshoz a Key Vault hozzáférési szabályzataiban. Lásd: Key Vault hozzáférési szabályzat hozzárendelése az Azure Portal használatával

Ez a funkció jelenleg a következő esetekben használható:

  • Szintaxissal {@Microsoft.KeyVault(SecretUri=<secret-identity>)} lekérheti a KeyVault titkos kulcsát az eseménykezelő URL-sablonbeállításában.

Következő lépések