Egyéni hitelesítés az Azure Static Web Appsben

Az Azure Static Web Apps felügyelt hitelesítést biztosít, amely az Azure által felügyelt szolgáltatói regisztrációkat használja. Ha nagyobb rugalmasságot szeretne biztosítani a regisztrációval szemben, egyéni regisztrációval felülbírálhatja az alapértelmezett értékeket.

• Az egyéni hitelesítés lehetővé teszi az OpenID Csatlakozás támogató egyéni szolgáltatók konfigurálását is. Ez a konfiguráció több külső szolgáltató regisztrációját teszi lehetővé.

• Az egyéni regisztrációk használata letiltja az összes előre konfigurált szolgáltatót.

Megjegyzés:

Az egyéni hitelesítés csak az Azure Static Web Apps Standard csomagban érhető el.

Egyéni identitásszolgáltató konfigurálása

Az egyéni identitásszolgáltatók a auth konfigurációs fájl szakaszában vannak konfigurálva.

Annak érdekében, hogy a titkos kulcsok ne kerüljenek a forráskezelésbe, a konfiguráció megvizsgálja a konfigurációs fájlban található egyező név alkalmazásbeállítását . A titkos kulcsokat az Azure Key Vaultban is tárolhatja.

Microsoft Entra-azonosító

A regisztráció létrehozásához először hozza létre a következő alkalmazásbeállításokat:

A beállítás neve	Value
AZURE_CLIENT_ID	A Microsoft Entra alkalmazásregisztráció alkalmazás-(ügyfél-) azonosítója.
AZURE_CLIENT_SECRET	A Microsoft Entra alkalmazásregisztrációjának titkos ügyfélkódja.

Ezután a következő példában konfigurálja a szolgáltatót a konfigurációs fájlban.

A Microsoft Entra-szolgáltatók két különböző verzióban érhetők el. Az 1. verzió explicit módon határozza meg a userDetailsClaimfelhasználói adatokat, így a hasznos adatok visszaadhatók. Ezzel szemben a 2. verzió alapértelmezés szerint felhasználói adatokat ad vissza, és az openIdIssuer URL-cím határozza megv2.0.

Microsoft Entra 1-es verzió

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Mindenképpen cserélje le <TENANT_ID> a Microsoft Entra-bérlőazonosítót.

Microsoft Entra 2-es verzió

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Mindenképpen cserélje le <TENANT_ID> a Microsoft Entra-bérlőazonosítót.

A Microsoft Entra-azonosító konfigurálásáról további információt az App Service-hitelesítés/engedélyezés dokumentációjában talál egy meglévő regisztráció használatával kapcsolatban.

Annak konfigurálásához, hogy mely fiókok jelentkezhetnek be, olvassa el az alkalmazás által támogatott fiókok módosítása és a Microsoft Entra-alkalmazás korlátozása a Microsoft Entra-bérlők felhasználóinak egy csoportjára című témakört.

Megjegyzés:

Bár a Microsoft Entra ID konfigurációs szakasza az azureActiveDirectory, a platform ezt aad a bejelentkezési, kijelentkezési és törlési felhasználói adatok URL-címében használja. További információért tekintse meg a hitelesítés és az engedélyezés szakaszt.

Apple

A regisztráció létrehozásához először hozza létre a következő alkalmazásbeállításokat:

A beállítás neve	Value
APPLE_CLIENT_ID	Az Apple ügyfélazonosítója.
APPLE_CLIENT_SECRET	Az Apple ügyféltitkára.

Ezután a következő példában konfigurálja a szolgáltatót a konfigurációs fájlban.

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Az Apple hitelesítésszolgáltatóként való konfigurálásáról további információt az App Service hitelesítési/engedélyezési dokumentációjában talál.

Facebook

A regisztráció létrehozásához először hozza létre a következő alkalmazásbeállításokat:

A beállítás neve	Value
FACEBOOK_APP_ID	A Facebook-alkalmazás azonosítója.
FACEBOOK_APP_SECRET	A Facebook alkalmazás titkos kódja.

Ezután a következő példában konfigurálja a szolgáltatót a konfigurációs fájlban.

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET"
        }
      }
    }
  }
}

A Facebook hitelesítésszolgáltatóként való konfigurálásáról további információt az App Service hitelesítési/engedélyezési dokumentációjában talál.

GitHub

A regisztráció létrehozásához először hozza létre a következő alkalmazásbeállításokat:

A beállítás neve	Value
GITHUB_CLIENT_ID	A GitHub-ügyfél azonosítója.
GITHUB_CLIENT_SECRET	A GitHub-ügyfél titkos kódja.

Ezután a következő példában konfigurálja a szolgáltatót a konfigurációs fájlban.

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET"
        }
      }
    }
  }
}

Google

A regisztráció létrehozásához először hozza létre a következő alkalmazásbeállításokat:

A beállítás neve	Value
GOOGLE_CLIENT_ID	A Google ügyfélazonosítója.
GOOGLE_CLIENT_SECRET	A Google ügyféltitkára.

Ezután a következő példában konfigurálja a szolgáltatót a konfigurációs fájlban.

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET"
        }
      }
    }
  }
}

A Google hitelesítésszolgáltatóként való konfigurálásáról az App Service hitelesítési/engedélyezési dokumentációjában talál további információt.

Twitter

A regisztráció létrehozásához először hozza létre a következő alkalmazásbeállításokat:

A beállítás neve	Value
TWITTER_CONSUMER_KEY	A Twitter fogyasztói kulcsa.
TWITTER_CONSUMER_SECRET	A Twitter fogyasztói titok.

Ezután a következő példában konfigurálja a szolgáltatót a konfigurációs fájlban.

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "TWITTER_CONSUMER_KEY",
          "consumerSecretSettingName": "TWITTER_CONSUMER_SECRET"
        }
      }
    }
  }
}

A Twitter hitelesítésszolgáltatóként való konfigurálásáról további információt az App Service hitelesítési/engedélyezési dokumentációjában talál.

OpenID Connect

Az Azure Static Web Apps konfigurálható úgy, hogy olyan egyéni hitelesítésszolgáltatót használjon, amely megfelel az OpenID Csatlakozás (OIDC) specifikációjának. Az egyéni OIDC-szolgáltató használatához az alábbi lépések szükségesek.

• Egy vagy több OIDC-szolgáltató engedélyezett.
• Minden szolgáltatónak egyedi névvel kell rendelkeznie a konfigurációban.
• Csak egy szolgáltató szolgálhat alapértelmezett átirányítási célként.

Alkalmazás regisztrálása az identitásszolgáltatónál

Regisztrálnia kell az alkalmazás adatait egy identitásszolgáltatónál. Kérdezze meg a szolgáltatót az alkalmazás ügyfélazonosítójának és titkos ügyfélkulcsának létrehozásához szükséges lépésekről.

Ha az alkalmazás regisztrálva van az identitásszolgáltatónál, hozza létre a következő alkalmazáskulcsokat a statikus webalkalmazás alkalmazásbeállításaiban :

A beállítás neve	Value
MY_PROVIDER_CLIENT_ID	A statikus webalkalmazás hitelesítésszolgáltatója által létrehozott ügyfél-azonosító.
MY_PROVIDER_CLIENT_SECRET	A hitelesítésszolgáltató statikus webalkalmazás egyéni regisztrációja által létrehozott ügyfélkulcs.

Ha további szolgáltatókat regisztrál, mindegyiknek szüksége van egy társított ügyfél-azonosítóra és egy titkos ügyfélkódtárra az alkalmazásbeállításokban.

Fontos

Az alkalmazás titkos kódjai bizalmas biztonsági hitelesítő adatok. Ezt a titkos kulcsot ne ossza meg senkivel, ne ossza el egy ügyfélalkalmazásban, és ne ellenőrizze a forráskezelést.

Miután megkapta a regisztrációs hitelesítő adatokat, az alábbi lépésekkel hozhat létre egyéni regisztrációt.

1. Szüksége van a szolgáltató OpenID Csatlakozás metaadataira. Ezek az információk gyakran egy konfigurációs metaadat-dokumentumon keresztül jelennek meg, amely a szolgáltató kiállítói URL-címének utótagja /.well-known/openid-configuration. Gyűjtse össze ezt a konfigurációs URL-címet.

2. Adja hozzá a konfigurációs fájl egy auth szakaszát az OIDC-szolgáltatók konfigurációs blokkjával és a szolgáltató definíciójával.

   {
     "auth": {
       "identityProviders": {
         "customOpenIdConnectProviders": {
           "myProvider": {
             "registration": {
               "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
               "clientCredential": {
                 "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET"
               },
               "openIdConnectConfiguration": {
                 "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
               }
             },
             "login": {
               "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
               "scopes": [],
               "loginParameterNames": []
             }
           }
         }
       }
     }
   }
   

• Ebben a példában a szolgáltató neve myProvider az Azure Static Web Apps által használt egyedi azonosító.
• Mindenképpen cserélje le <PROVIDER_ISSUER_URL> a szolgáltató kiállítói URL-címének elérési útját.
• Az login objektum lehetővé teszi az egyéni hatókörök, bejelentkezési paraméterek vagy egyéni jogcímek értékeinek megadását.

Hitelesítési visszahívások

Az identitásszolgáltatóknak átirányítási URL-címre van szükségük a bejelentkezési vagy kijelentkezési kérés teljesítéséhez. A legtöbb szolgáltatónak hozzá kell adnia a visszahívási URL-címeket egy engedélyezési listához. A következő végpontok átirányítási célként érhetők el.

Type	URL-minta
Bejelentkezés	https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback
Kijelentkezés	https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback

Ha Microsoft Entra-azonosítót használ, használja aad a <PROVIDER_NAME_IN_CONFIG> helyőrző értékét.

Megjegyzés:

Ezeket az URL-címeket az Azure Static Web Apps biztosítja a hitelesítésszolgáltató válaszának fogadásához, nem kell lapokat létrehoznia ezeken az útvonalakon.

Bejelentkezés, kijelentkezés és felhasználói adatok

Egyéni identitásszolgáltató használatához használja az alábbi URL-mintákat.

Action	Minta
Bejelentkezés	/.auth/login/<PROVIDER_NAME_IN_CONFIG>
Kijelentkezés	/.auth/logout
Felhasználói adatok	/.auth/me
Felhasználói adatok törlése	/.auth/purge/<PROVIDER_NAME_IN_CONFIG>

Ha Microsoft Entra-azonosítót használ, használja aad a <PROVIDER_NAME_IN_CONFIG> helyőrző értékét.

Szerepkörök kezelése

Minden felhasználó, aki statikus webalkalmazáshoz fér hozzá, egy vagy több szerepkörhöz tartozik. A felhasználók két beépített szerepkörhöz tartozhatnak:

• névtelen: Minden felhasználó automatikusan a névtelen szerepkörhöz tartozik.
• hitelesített: Minden bejelentkezett felhasználó a hitelesített szerepkörhöz tartozik.

A beépített szerepkörökön kívül egyéni szerepköröket is hozzárendelhet a felhasználókhoz, és hivatkozhat rájuk a staticwebapp.config.json fájlban.

Meghívások

Felhasználó hozzáadása szerepkörhöz

Ha felhasználót szeretne hozzáadni egy szerepkörhöz, olyan meghívókat hoz létre, amelyek lehetővé teszik a felhasználók adott szerepkörökhöz való hozzárendelését. A szerepkörök definiálása és karbantartása a staticwebapp.config.json fájlban történik.

Meghívó létrehozása

A meghívások az egyes hitelesítésszolgáltatókra vonatkoznak, ezért vegye figyelembe az alkalmazás igényeit, amikor kiválasztja, hogy mely szolgáltatókat támogatja. Egyes szolgáltatók közzéteszik a felhasználó e-mail-címét, míg mások csak a webhely felhasználónevét adják meg.

Engedélyezési szolgáltató	Kiteszi
Microsoft Entra ID	e-mail-cím;
GitHub	username
Twitter	username

A következő lépéseket követve hozzon létre egy meghívót.

1. Lépjen egy Static Web Apps-erőforrásra az Azure Portalon.
2. A Gépház területen válassza a Szerepkör-kezelés lehetőséget.
3. Válassza ki Meghívás lehetőséget.
4. Válasszon ki egy engedélyezési szolgáltatót a lehetőségek listájából.
5. Adja meg a címzett felhasználónevét vagy e-mail-címét a Meghívás részletei mezőben.
   • A GitHub és a Twitter esetében adja meg a felhasználónevet. Minden másnál adja meg a címzett e-mail-címét.
6. Válassza ki a statikus webhely tartományát a Tartomány legördülő menüből.
   • A kiválasztott tartomány a meghívóban megjelenő tartomány. Ha a webhelyhez egyéni tartomány van társítva, válassza ki az egyéni tartományt.
7. A szerepkörnevek vesszővel tagolt listájának hozzáadása a Szerepkör mezőben.
8. Adja meg, hogy a meghívás hány órát tart érvényesnek.
   • A maximális lehetséges korlát 168 óra, ami hét nap.
9. Válassza a Létrehozás lehetőséget.
10. Másolja a hivatkozást a Meghívó hivatkozás mezőjéből.
11. Küldje el e-mailben a meghívó hivatkozását annak a felhasználónak, akihez hozzáférést ad.

Amikor a felhasználó kiválasztja a hivatkozást a meghívóban, a rendszer kérni fogja, hogy jelentkezzen be a megfelelő fiókjával. Miután sikeresen bejelentkezett, a felhasználó a kijelölt szerepkörökhöz lesz társítva.

Figyelmeztetés

Győződjön meg arról, hogy az útvonalszabályok nem ütköznek a kiválasztott hitelesítésszolgáltatókkal. Az útvonalszabályt tartalmazó szolgáltató letiltása megakadályozza, hogy a felhasználók fogadják el a meghívókat.

Szerepkör-hozzárendelések frissítése

1. Lépjen egy Static Web Apps-erőforrásra az Azure Portalon.
2. A Gépház területen válassza a Szerepkör-kezelés lehetőséget.
3. Jelölje ki a felhasználót a listában.
4. Szerkessze a szerepkörök listáját a Szerepkör mezőben.
5. Select Update.

Felhasználó eltávolítása

1. Lépjen egy Static Web Apps-erőforrásra az Azure Portalon.
2. A Gépház területen válassza a Szerepkör-kezelés lehetőséget.
3. Keresse meg a felhasználót a listában.
4. Jelölje be a felhasználó sorában lévő jelölőnégyzetet.
5. Select Delete.

A felhasználók eltávolításakor tartsa szem előtt a következő elemeket:

• A felhasználó eltávolítása érvényteleníti az engedélyeiket.
• A globális propagálás eltarthat néhány percig.
• Ha a felhasználó visszakerül az alkalmazásba, a userId változások megváltoznak.

Függvény (előzetes verzió)

A beépített meghívási rendszer helyett kiszolgáló nélküli függvényekkel programozott módon rendelhet szerepköröket a felhasználókhoz bejelentkezéskor.

Ha egyéni szerepköröket szeretne hozzárendelni egy függvényhez, meghatározhat egy OLYAN API-függvényt, amelyet a rendszer automatikusan hív meg minden alkalommal, amikor egy felhasználó sikeresen hitelesít egy identitásszolgáltatót. A függvény a szolgáltatótól továbbítja a felhasználó adatait. A felhasználóhoz rendelt egyéni szerepkörök listáját kell visszaadnia.

A függvény például a következőket használja:

• Adatbázis lekérdezése annak meghatározásához, hogy mely szerepköröket kell hozzárendelni a felhasználóhoz
• A Microsoft Graph API meghívása a felhasználó szerepköreinek meghatározásához az Active Directory-csoporttagság alapján
• Felhasználó szerepköreinek meghatározása az identitásszolgáltató által visszaadott jogcímek alapján

Megjegyzés:

A szerepkörök függvényen keresztüli hozzárendelése csak egyéni hitelesítés konfigurálásakor érhető el.

Ha ez a funkció engedélyezve van, a beépített meghívórendszeren keresztül hozzárendelt szerepkörök figyelmen kívül lesznek hagyva.

Függvény konfigurálása szerepkörök hozzárendeléséhez

Ha úgy szeretné konfigurálni a Static Web Appst, hogy egy API-függvényt használjon szerepkör-hozzárendelési függvényként, adjon hozzá egy rolesSource tulajdonságot az auth alkalmazás konfigurációs fájljának szakaszához. A tulajdonság értéke az rolesSource API-függvény elérési útja.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

Megjegyzés:

A konfigurálás után a szerepkör-hozzárendelési függvény már nem érhető el külső HTTP-kérésekkel.

Függvény létrehozása szerepkörök hozzárendeléséhez

Miután definiálta a rolesSource tulajdonságot az alkalmazás konfigurációjában, adjon hozzá egy API-függvényt a statikus webalkalmazáshoz a megadott elérési úton. Használhat felügyelt függvényalkalmazást, vagy saját függvényalkalmazást is használhat.

Minden alkalommal, amikor egy felhasználó sikeresen hitelesít egy identitásszolgáltatót, a POST metódus meghívja a megadott függvényt. A függvény átad egy JSON-objektumot a kérelem törzsében, amely tartalmazza a felhasználó adatait a szolgáltatótól. Egyes identitásszolgáltatók esetében a felhasználói adatok olyan információkat is tartalmaznak accessToken , amelyekkel a függvény API-hívásokat indíthat a felhasználó identitásával.

Tekintse meg a következő példa hasznos adatait a Microsoft Entra-azonosítóból:

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

A függvény a felhasználó adataival meghatározhatja, hogy mely szerepköröket rendelje hozzá a felhasználóhoz. Egy HTTP 200-választ kell visszaadnia egy JSON-törzstel, amely tartalmazza a felhasználóhoz rendelendő egyéni szerepkörnevek listáját.

Ha például a felhasználót a szerepkörökhöz szeretné hozzárendelni ReaderContributor , adja vissza a következő választ:

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

Ha nem szeretne más szerepköröket hozzárendelni a felhasználóhoz, adjon vissza egy üres roles tömböt.

További információ: Oktatóanyag: Egyéni szerepkörök hozzárendelése függvényhez és Microsoft Graph.

Következő lépések

Felhasználói szerepkörök beállítása programozott módon