Autentikasi kustom di Azure Static Web Apps

Artikel
01/10/2024

Azure Static Web Apps menyediakan autentikasi terkelola yang menggunakan pendaftaran penyedia yang dikelola oleh Azure. Untuk memungkinkan fleksibilitas yang lebih terhadap pendaftaran, Anda dapat mengganti default dengan pendaftaran kustom.

Autentikasi kustom juga memungkinkan Anda mengonfigurasi penyedia kustom yang mendukung OpenID Connect. Konfigurasi ini memungkinkan pendaftaran beberapa penyedia eksternal.
Menggunakan pendaftaran kustom apa pun akan menonaktifkan semua penyedia yang telah dikonfigurasi sebelumnya.

Catatan

Autentikasi kustom hanya tersedia dalam paket Azure Static Web Apps Standard.

Mengonfigurasi penyedia identitas kustom

Penyedia identitas kustom dikonfigurasi di bagian auth dari file konfigurasi.

Untuk menghindari menempatkan rahasia dalam kontrol sumber, konfigurasi memeriksa pengaturan aplikasi untuk mencari nama yang cocok dalam file konfigurasi. Anda juga dapat memilih untuk menyimpan rahasia Anda di Azure Key Vault.

Untuk membuat pendaftaran, mulailah dengan membuat pengaturan aplikasi berikut:

Nama Pengaturan	Nilai
`AZURE_CLIENT_ID`	ID Aplikasi (klien) untuk pendaftaran aplikasi Microsoft Entra.
`AZURE_CLIENT_SECRET`	Rahasia klien untuk pendaftaran aplikasi Microsoft Entra.

Selanjutnya, gunakan sampel berikut untuk mengonfigurasi penyedia di file konfigurasi.

Penyedia Microsoft Entra tersedia dalam dua versi berbeda. Versi 1 secara eksplisit mendefinisikan userDetailsClaim, yang memungkinkan payload agar menampilkan informasi pengguna. Sebaliknya, versi 2 menampilkan informasi pengguna secara default, dan ditunjuk oleh v2.0 di URL openIdIssuer.

Microsoft Entra Versi 1

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Pastikan untuk mengganti <TENANT_ID> dengan ID penyewa Microsoft Entra Anda.

Microsoft Entra Versi 2

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Pastikan untuk mengganti <TENANT_ID> dengan ID penyewa Microsoft Entra Anda.

Untuk informasi selengkapnya tentang cara mengonfigurasi ID Microsoft Entra, lihat dokumentasi Autentikasi /Otorisasi App Service tentang menggunakan pendaftaran yang sudah ada.

Untuk mengonfigurasi akun mana yang dapat masuk, lihat Mengubah akun yang didukung oleh aplikasi dan Membatasi aplikasi Microsoft Entra Anda ke sekumpulan pengguna di penyewa Microsoft Entra.

Catatan

Sementara bagian konfigurasi untuk ID Microsoft Entra adalah azureActiveDirectory, platform alias ini aad di URL untuk masuk, keluar, dan menghapus menyeluruh informasi pengguna. Lihat bagian autentikasi dan otorisasi untuk informasi selengkapnya.

Untuk membuat pendaftaran, mulailah dengan membuat pengaturan aplikasi berikut:

Nama Pengaturan	Nilai
`APPLE_CLIENT_ID`	ID klien Apple.
`APPLE_CLIENT_SECRET`	Rahasia klien Apple.

Selanjutnya, gunakan sampel berikut untuk mengonfigurasi penyedia di file konfigurasi.

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Untuk informasi selengkapnya tentang cara mengonfigurasi Apple sebagai penyedia autentikasi, lihat dokumentasi Autentikasi/Otorisasi App Service.

Untuk membuat pendaftaran, mulailah dengan membuat pengaturan aplikasi berikut:

Nama Pengaturan	Nilai
`FACEBOOK_APP_ID`	ID aplikasi Facebook.
`FACEBOOK_APP_SECRET`	Rahasia aplikasi Facebook.

Selanjutnya, gunakan sampel berikut untuk mengonfigurasi penyedia di file konfigurasi.

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET"
        }
      }
    }
  }
}

Untuk informasi selengkapnya tentang cara mengonfigurasi Facebook sebagai penyedia autentikasi, lihat dokumentasi Autentikasi/Otorisasi App Service.

Untuk membuat pendaftaran, mulailah dengan membuat pengaturan aplikasi berikut:

Nama Pengaturan	Nilai
`GITHUB_CLIENT_ID`	ID klien GitHub.
`GITHUB_CLIENT_SECRET`	Rahasia klien GitHub.

Selanjutnya, gunakan sampel berikut untuk mengonfigurasi penyedia di file konfigurasi.

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET"
        }
      }
    }
  }
}

Untuk membuat pendaftaran, mulailah dengan membuat pengaturan aplikasi berikut:

Nama Pengaturan	Nilai
`GOOGLE_CLIENT_ID`	ID klien Google.
`GOOGLE_CLIENT_SECRET`	Rahasia klien Google.

Selanjutnya, gunakan sampel berikut untuk mengonfigurasi penyedia di file konfigurasi.

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Untuk informasi selengkapnya tentang cara mengonfigurasi Google sebagai penyedia autentikasi, lihat dokumentasi Autentikasi/Otorisasi App Service.

Untuk membuat pendaftaran, mulailah dengan membuat pengaturan aplikasi berikut:

Nama Pengaturan	Nilai
`TWITTER_CONSUMER_KEY`	Kunci pelanggan Twitter.
`TWITTER_CONSUMER_SECRET`	Rahasia pelanggan Twitter.

Selanjutnya, gunakan sampel berikut untuk mengonfigurasi penyedia di file konfigurasi.

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "TWITTER_CONSUMER_KEY",
          "consumerSecretSettingName": "TWITTER_CONSUMER_SECRET"
        }
      }
    }
  }
}

Untuk informasi selengkapnya tentang cara mengonfigurasi Twitter sebagai penyedia autentikasi, lihat dokumentasi Autentikasi/Otorisasi App Service.

Anda dapat mengonfigurasi Azure Static Web Apps untuk menggunakan penyedia autentikasi kustom yang mematuhi spesifikasi OpenID Connect (OIDC). Langkah-langkah berikut diperlukan untuk menggunakan penyedia OIDC kustom.

Satu atau beberapa penyedia OIDC diperbolehkan.
Setiap penyedia harus memiliki nama unik dalam konfigurasi.
Hanya satu penyedia yang dapat berfungsi sebagai target pengalihan default.

Daftarkan aplikasi Anda dengan IdP

Anda diharuskan mendaftarkan detail aplikasi Anda dengan IdP. Tanyakan kepada penyedia mengenai langkah-langkah yang diperlukan untuk menghasilkan ID klien dan rahasia klien untuk aplikasi Anda.

Setelah aplikasi terdaftar dengan penyedia identitas, buat rahasia aplikasi berikut di pengaturan aplikasi Static Web App:

Nama Pengaturan	Nilai
`MY_PROVIDER_CLIENT_ID`	ID klien yang dihasilkan oleh penyedia autentikasi untuk aplikasi web statik Anda.
`MY_PROVIDER_CLIENT_SECRET`	Rahasia klien yang dihasilkan oleh pendaftaran kustom penyedia autentikasi untuk aplikasi web statik Anda.

Jika Anda mendaftarkan penyedia tambahan, masing-masing penyedia tersebut memerlukan ID klien terkait dan penyimpanan rahasia klien dalam pengaturan aplikasi.

Penting

Rahasia aplikasi adalah info masuk keamanan sensitif. Jangan membagikan rahasia ini dengan siapa pun, mendistribusikannya dalam aplikasi klien, atau memeriksa kontrol sumber.

Setelah Anda memiliki info masuk pendaftaran, gunakan langkah-langkah berikut untuk membuat pendaftaran kustom.

Anda memerlukan metadata OpenID Connect untuk penyedia. Informasi ini sering diekspos melalui dokumen metadata konfigurasi, yang merupakan URL Penerbit penyedia yang diakhiri dengan /.well-known/openid-configuration. Kumpulkan URL konfigurasi ini.

Tambahkan bagian auth dari file konfigurasi dengan blok konfigurasi untuk penyedia OIDC, dan definisi penyedia Anda.

{
  "auth": {
    "identityProviders": {
      "customOpenIdConnectProviders": {
        "myProvider": {
          "registration": {
            "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
            "clientCredential": {
              "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET"
            },
            "openIdConnectConfiguration": {
              "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
            }
          },
          "login": {
            "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
            "scopes": [],
            "loginParameterNames": []
          }
        }
      }
    }
  }
}

Nama penyedia, myProvider dalam contoh ini, adalah pengidentifikasi unik yang digunakan oleh Azure Static Web Apps.
Pastikan untuk mengganti <PROVIDER_ISSUER_URL> dengan jalur ke URL Pengeluar Sertifikat dari penyedia.
Objek login memungkinkan Anda menyediakan nilai untuk: cakupan kustom, parameter login, atau klaim kustom.

Panggilan balik autentikasi

Penyedia identitas memerlukan URL pengalihan untuk menyelesaikan permintaan masuk atau keluar. Sebagian besar penyedia mengharuskan Anda menambahkan URL panggilan balik ke daftar izin. Titik akhir berikut ini tersedia sebagai tujuan pengalihan.

Jenis	Pola URL
Masuk	`https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback`
Keluar	`https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback`

Jika Anda menggunakan ID Microsoft Entra, gunakan aad sebagai nilai untuk <PROVIDER_NAME_IN_CONFIG> tempat penampung.

Catatan

URL ini disediakan oleh Azure Static Web Apps untuk menerima respons dari penyedia autentikasi, Anda tidak perlu membuat halaman di rute ini.

Untuk menggunakan penyedia identitas kustom, gunakan pola URL berikut.

Tindakan	Pola
Masuk	`/.auth/login/<PROVIDER_NAME_IN_CONFIG>`
Keluar	`/.auth/logout`
Detail pengguna	`/.auth/me`
Menghapus detail pengguna secara menyeluruh	`/.auth/purge/<PROVIDER_NAME_IN_CONFIG>`

Jika Anda menggunakan ID Microsoft Entra, gunakan aad sebagai nilai untuk <PROVIDER_NAME_IN_CONFIG> tempat penampung.

Mengelola peran

Setiap pengguna yang mengakses aplikasi web statis milik satu atau beberapa peran. Ada dua peran bawaan yang dapat dimiliki pengguna:

anonim: Semua pengguna secara otomatis termasuk dalam peran anonim.
diautentikasi: Semua pengguna yang masuk termasuk dalam peran terautentikasi.

Selain peran bawaan, Anda dapat menetapkan peran kustom kepada pengguna, dan mereferensikannya dalam file staticwebapp.config.json.

Undangan
Fungsi (pratinjau)

Menambahkan pengguna ke peran

Untuk menambahkan pengguna ke peran, Anda menghasilkan undangan yang memungkinkan Anda mengaitkan pengguna ke peran tertentu. Peran didefinisikan dan dipertahankan dalam file staticwebapp.config.json.

Membuat undangan

Undangan khusus untuk penyedia otorisasi individual, jadi pertimbangkan kebutuhan aplikasi Anda saat Anda memilih penyedia mana yang akan didukung. Beberapa penyedia mengekspos alamat email pengguna, sementara yang lain hanya menyediakan nama pengguna situs.

Penyedia otorisasi	Mengekspos
Microsoft Entra ID	alamat email
GitHub	Nama pengguna
Twitter	Nama pengguna

Lakukan langkah-langkah berikut untuk membuat undangan.

Buka sumber daya Static Web Apps di portal Azure.
Di bawah Pengaturan, pilih Manajemen Peran.
Pilih Undang.
Pilih Penyedia otorisasi dari daftar opsi.
Tambahkan nama pengguna atau alamat email penerima dalam kotak Detail undangan.
- Untuk GitHub dan Twitter, masukkan nama pengguna. Untuk yang lainnya, masukkan alamat email penerima.
Pilih domain situs statis Anda dari menu drop-down Domain .
- Domain yang Anda pilih adalah domain yang muncul dalam undangan. Jika Anda memiliki domain kustom yang terkait dengan situs Anda, pilih domain kustom.
Tambahkan daftar nama peran yang dipisahkan koma dalam kotak Peran.
Masukkan jumlah jam maksimum yang Anda inginkan agar undangan tetap valid.
- Batas maksimum yang mungkin adalah 168 jam, yaitu tujuh hari.
Pilih Hasilkan.
Salin tautan dari kotak Tautan undang.
Kirim tautan undangan melalui email ke pengguna yang Anda berikan aksesnya.

Saat pengguna memilih tautan dalam undangan, mereka diminta untuk masuk dengan akun terkait. Setelah berhasil masuk, pengguna dikaitkan dengan peran yang dipilih.

Perhatian

Pastikan aturan rute Anda tidak berkonflik dengan penyedia autentikasi yang Anda pilih. Memblokir penyedia dengan aturan rute mencegah pengguna menerima undangan.

Memperbarui penetapan peran

Buka sumber daya Static Web Apps di portal Azure.
Di bawah Pengaturan, pilih Manajemen Peran.
Pilih pengguna dalam daftar.
Edit daftar peran dalam kotak Peran.
Pilih Perbarui.

Menghapus pengguna

Buka sumber daya Static Web Apps di portal Azure.
Di bawah Pengaturan, pilih Manajemen Peran.
Temukan pengguna dalam daftar.
Centang kotak centang pada baris pengguna.
Pilih Hapus.

Saat Anda menghapus pengguna, ingatlah item berikut:

Menghapus pengguna membatalkan izin mereka.
Penyebaran di seluruh dunia mungkin memakan waktu beberapa menit.
Jika pengguna ditambahkan kembali ke aplikasi, userId mengubah.

Alih-alih menggunakan sistem undangan bawaan, Anda dapat menggunakan fungsi tanpa server untuk menetapkan peran secara terprogram kepada pengguna saat mereka masuk.

Untuk menetapkan peran kustom dalam suatu fungsi, Anda dapat menentukan fungsi API yang otomatis dipanggil setelah setiap kali pengguna berhasil mengautentikasi dengan penyedia identitas. Informasi pengguna diteruskan ke fungsi ini dari penyedia. Ini harus menampilkan daftar peran kustom yang ditetapkan kepada pengguna.

Contoh penggunaan fungsi ini meliputi:

Mengkueri database untuk menentukan peran yang harus ditetapkan pengguna
Memanggil API Microsoft Graph untuk menentukan peran pengguna berdasarkan keanggotaan grup Direktori Aktif mereka
Menentukan peran pengguna berdasarkan klaim yang ditampilkan oleh penyedia identitas

Catatan

Kemampuan untuk menetapkan peran melalui fungsi hanya tersedia saat autentikasi kustom dikonfigurasi.

Saat fitur ini diaktifkan, peran apa pun yang ditetapkan melalui sistem undangan bawaan diabaikan.

Mengonfigurasi fungsi untuk menetapkan peran

Untuk mengonfigurasi Static Web Apps agar menggunakan fungsi API sebagai fungsi penetapan peran, tambahkan properti rolesSource ke bagian authfile konfigurasi aplikasi Anda. Nilai properti rolesSource adalah jalur ke fungsi API.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

Catatan

Setelah dikonfigurasi, fungsi penetapan peran tidak dapat lagi diakses oleh permintaan HTTP eksternal.

Membuat fungsi untuk menetapkan peran

Setelah Anda menentukan rolesSource properti dalam konfigurasi aplikasi, tambahkan fungsi API di aplikasi web statis Anda di jalur yang ditentukan. Anda dapat menggunakan aplikasi fungsi terkelola atau membawa aplikasi fungsi Anda sendiri.

Setiap kali pengguna berhasil mengautentikasi dengan penyedia identitas, metode POST memanggil fungsi yang ditentukan. Fungsi ini meneruskan objek JSON dalam isi permintaan yang berisi informasi pengguna dari penyedia. Untuk beberapa penyedia identitas, informasi pengguna juga mencakup accessToken yang fungsinya dapat digunakan untuk melakukan panggilan API menggunakan identitas pengguna.

Lihat contoh payload berikut dari ID Microsoft Entra:

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

Fungsi ini dapat menggunakan informasi pengguna untuk menentukan peran mana yang akan ditetapkan kepada pengguna. Ini harus menampilkan respons HTTP 200 dengan isi JSON yang berisi daftar nama peran khusus untuk ditetapkan kepada pengguna.

Misalnya, untuk menetapkan pengguna ke peran Reader dan Contributor, tampilkan respons berikut:

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

Jika Anda tidak ingin menetapkan peran lain kepada pengguna, kembalikan array kosong roles .

Untuk mempelajari lebih lanjut, lihat Tutorial: Menetapkan peran kustom dengan fungsi dan Microsoft Graph.

Langkah berikutnya

Mengatur peran pengguna secara terprogram

Share via

Autentikasi kustom di Azure Static Web Apps

Mengonfigurasi penyedia identitas kustom

Microsoft Entra Versi 1

Microsoft Entra Versi 2

Daftarkan aplikasi Anda dengan IdP

Panggilan balik autentikasi

Mengelola peran

Menambahkan pengguna ke peran

Membuat undangan

Memperbarui penetapan peran

Menghapus pengguna

Mengonfigurasi fungsi untuk menetapkan peran

Membuat fungsi untuk menetapkan peran

Langkah berikutnya

Sumber Daya Tambahan:

Share via

Autentikasi kustom di Azure Static Web Apps

Mengonfigurasi penyedia identitas kustom

Microsoft Entra Versi 1

Microsoft Entra Versi 2

Panggilan balik autentikasi

Rincian masuk, keluar, dan pengguna

Mengelola peran

Menambahkan pengguna ke peran

Membuat undangan

Memperbarui penetapan peran

Menghapus pengguna

Langkah berikutnya

Sumber Daya Tambahan: