Verificatie en autorisatie voor Azure Static Web Apps

Artikel
10/14/2021
8 minuten om te lezen

Azure Static Web Apps biedt een gestroomlijnde verificatie-ervaring. Standaard hebt u toegang tot een reeks vooraf geconfigureerde providers of de optie om een aangepaste provider te registreren.

Elke gebruiker kan worden geverifieerd met een ingeschakelde provider.
Nadat gebruikers zijn aangemeld, behoren ze standaard tot de anonymous authenticated rollen en .
Geautoriseerde gebruikers krijgen toegang tot beperkte routes op basis van regels die zijn gedefinieerd in het bestand staticwebapp.config.json.
Aan gebruikers worden aangepaste rollen toegewezen met behulp van het ingebouwde uitnodigingensysteem.
Gebruikers kunnen programmatisch aangepaste rollen toegewezen krijgen bij aanmelding door een API-functie.
Alle verificatieproviders zijn standaard ingeschakeld.
- Als u een verificatieprovider wilt beperken, blokkeert u de toegang met een aangepaste routeregel.
Vooraf geconfigureerde providers zijn onder andere:
- Azure Active Directory
- GitHub
- Twitter

De onderwerpen van verificatie en autorisatie overlappen aanzienlijk met routeringsconcepten, die worden beschreven in de handleiding voor toepassingsconfiguratie.

Rollen

Elke gebruiker die toegang heeft tot een statische web-app, behoort tot een of meer rollen. Er zijn twee ingebouwde rollen waar gebruikers bij kunnen horen:

anoniem: alle gebruikers behoren automatisch tot de anonieme rol.
geverifieerd: alle gebruikers die zijn aangemeld, behoren tot de geverifieerde rol.

Naast de ingebouwde rollen kunt u aangepaste rollen toewijzen aan gebruikers en hier in het bestandstaticwebapp.config.json naar verwijzen.

Een gebruiker toevoegen aan een rol

Als u een gebruiker aan een rol wilt toevoegen, genereert u uitnodigingen waarmee u gebruikers aan specifieke rollen kunt koppelen. Rollen worden gedefinieerd en onderhouden in het bestandstaticwebapp.config.json.

Een uitnodiging maken

Uitnodigingen zijn specifiek voor afzonderlijke autorisatieproviders, dus houd rekening met de behoeften van uw app wanneer u selecteert welke providers u wilt ondersteunen. Sommige providers geven het e-mailadres van een gebruiker weer, terwijl andere alleen de gebruikersnaam van de site verstrekken.

Autorisatieprovider	Geeft de van een gebruiker weer
Azure Active Directory	e-mailadres
GitHub	gebruikersnaam
Twitter	gebruikersnaam

Navigeer naar Static Web Apps resource in Azure Portal.
Klik Instellingen onder Instellingen op Role Management.
Klik op de knop Uitnodigen.
Selecteer een autorisatieprovider in de lijst met opties.
Voeg de gebruikersnaam of het e-mailadres van de ontvanger toe in het vak Details van uitnodiging.
- Voor GitHub en Twitter voert u de gebruikersnaam in. Voer voor alle andere gebruikers het e-mailadres van de ontvanger in.
Selecteer het domein van uw statische site in de vervolgkeuzekeuze selecteren domein.
- Het domein dat u selecteert, is het domein dat wordt weergegeven in de uitnodiging. Als u een aangepast domein aan uw site hebt gekoppeld, wilt u waarschijnlijk het aangepaste domein kiezen.
Voeg een door komma's gescheiden lijst met rolnamen toe in het vak Rol.
Voer het maximum aantal uren in dat de uitnodiging geldig moet blijven.
- De maximaal mogelijke limiet is 168 uur, wat 7 dagen is.
Klik op de knop Genereren.
Kopieer de koppeling uit het vak Uitnodigingskoppeling.
Stuur de uitnodigingskoppeling via e-mail naar de persoon die u toegang verleent tot uw app.

Wanneer de gebruiker op de koppeling in de uitnodiging klikt, wordt de gebruiker gevraagd zich aan te melden met het bijbehorende account. Zodra de gebruiker is aangemeld, wordt deze gekoppeld aan de geselecteerde rollen.

Waarschuwing

Zorg ervoor dat uw routeregels niet conflicteren met de geselecteerde verificatieproviders. Als u een provider blokkeert met een routeregel, kunnen gebruikers geen uitnodigingen accepteren.

Roltoewijzingen bijwerken

Navigeer naar Static Web Apps resource in Azure Portal.
Klik Instellingen onder Instellingen op Role Management.
Klik op de gebruiker in de lijst.
Bewerk de lijst met rollen in het vak Rol.
Klik op de knop Bijwerken.

Gebruiker verwijderen

Navigeer naar Static Web Apps resource in Azure Portal.
Klik Instellingen onder Instellingen op Role Management.
Zoek de gebruiker in de lijst.
Vink het selectievakje in de rij van de gebruiker aan.
Klik op de knop Verwijderen.

Houd rekening met de volgende items wanneer u een gebruiker verwijdert:

Als u een gebruiker verwijdert, worden de machtigingen ongeldig.
Wereldwijde door propagatie kan enkele minuten duren.
Als de gebruiker weer aan de app wordt toegevoegd, verandert userId de.

In plaats van het ingebouwde uitnodigingensysteem te gebruiken, kunt u een serverloze functie gebruiken om programmatisch rollen toe te wijzen aan gebruikers wanneer ze zich aanmelden.

Als u aangepaste rollen in een functie wilt toewijzen, kunt u een API-functie definiëren die automatisch wordt aangeroepen na elke keer dat een gebruiker wordt geverifieerd bij een id-provider. De functie wordt doorgegeven aan de gegevens van de gebruiker van de provider. Er moet een lijst met aangepaste rollen worden weergegeven die aan de gebruiker zijn toegewezen.

Een voorbeeld van het gebruik van deze functie is:

Een query uitvoeren op een database om te bepalen aan welke rollen een gebruiker moet worden toegewezen
De Microsoft Graph-API aanroepen om de rollen van een gebruiker te bepalen op basis van het lidmaatschap van de Active Directory-groep
De rollen van een gebruiker bepalen op basis van claims die worden geretourneerd door de id-provider

Notitie

De mogelijkheid om rollen toe te wijzen via een functie is alleen beschikbaar wanneer aangepaste verificatie is geconfigureerd.

Wanneer deze functie is ingeschakeld, worden alle rollen die zijn toegewezen via het ingebouwde uitnodigingensysteem genegeerd.

Een functie configureren voor het toewijzen van rollen

Als u Static Web Apps API-functie wilt gebruiken als functie voor roltoewijzing, voegt u een eigenschap toe aan de sectie van het rolesSource auth configuratiebestand van uw app. De waarde van de rolesSource eigenschap is het pad naar de API-functie.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

Notitie

Zodra de functie voor roltoewijzing is geconfigureerd, is deze niet meer toegankelijk voor externe HTTP-aanvragen.

Een functie maken voor het toewijzen van rollen

Nadat u de eigenschap in de configuratie van uw app hebt opgegeven, voegt u een API-functie toe aan uw rolesSource statische web-app op het pad dat u hebt opgegeven. U kunt een beheerde functie-app of een Bring Your Own Function-app gebruiken.

Telkens als een gebruiker wordt geverifieerd met een id-provider, wordt de opgegeven functie aangeroepen. De functie wordt doorgegeven aan een JSON-object in de aanvraag body dat de gegevens van de gebruiker van de provider bevat. Voor sommige id-providers bevat de gebruikersgegevens ook een die de functie kan gebruiken om API-aanroepen uit te voeren met behulp van accessToken de identiteit van de gebruiker.

Dit is een voorbeeld van een nettolading van Azure Active Directory:

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

De functie kan de gegevens van de gebruiker gebruiken om te bepalen welke rollen aan de gebruiker moeten worden toegewezen. Het moet een HTTP 200-antwoord retourneren met een JSON-body met een lijst met aangepaste rolnamen die aan de gebruiker moeten worden toegewezen.

Als u de gebruiker bijvoorbeeld wilt toewijzen aan de Reader rollen Contributor en, retournt u het volgende antwoord:

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

Als u geen extra rollen aan de gebruiker wilt toewijzen, retournt u een lege roles matrix.

Zie Zelfstudie: Aangepaste rollen toewijzen met een functie en Microsoft Graph.

Persoonlijke identificatiegegevens verwijderen

Wanneer u een toepassing als eindgebruiker toestemming verleent, heeft de toepassing toegang tot uw e-mailadres of uw gebruikersnaam, afhankelijk van de id-provider. Zodra deze informatie is verstrekt, bepaalt de eigenaar van de toepassing hoe persoonlijke identificatiegegevens moeten worden beheren.

Eindgebruikers moeten contact opnemen met beheerders van afzonderlijke web-apps om deze informatie van hun systemen in te trekken.

Als u persoonlijk identificeerbare informatie van het Azure Static Web Apps-platform wilt verwijderen en wilt voorkomen dat het platform deze informatie over toekomstige aanvragen verstrekt, dient u een aanvraag in via de URL:

https://identity.azurestaticapps.net/.auth/purge/<AUTHENTICATION_PROVIDER_NAME>

Als u wilt voorkomen dat het platform deze informatie over toekomstige aanvragen aan afzonderlijke apps verstrekt, dient u een aanvraag in op de volgende URL:

https://<WEB_APP_DOMAIN_NAME>/.auth/purge/<AUTHENTICATION_PROVIDER_NAME>

Als u een tijdelijke aanduiding Azure Active Directory, gebruikt aad u als de waarde voor de tijdelijke <AUTHENTICATION_PROVIDER_NAME> aanduiding.

Systeemmap

Azure Static Web Apps gebruikt de /.auth systeemmap om toegang te bieden tot aan autorisatie gerelateerde API's. In plaats van een van de routes onder de map rechtstreeks aan eindgebruikers bloot te stellen, kunt u routeringsregels maken om /.auth gebruiksvriendelijke URL's te maken.

Gebruik de volgende tabel om de providerspecifieke route te vinden.

Autorisatieprovider	Aanmeldingsroute
Azure Active Directory	`/.auth/login/aad`
GitHub	`/.auth/login/github`
Twitter	`/.auth/login/twitter`

Als u zich bijvoorbeeld wilt aanmelden met GitHub kunt u een koppeling opnemen zoals in het volgende fragment:

<a href="/.auth/login/github">Login</a>

Als u ervoor hebt gekozen om meer dan één provider te ondersteunen, moet u voor elke provider een providerspecifieke koppeling op uw website maken.

U kunt een routeregel gebruiken om een standaardprovider toe te staan aan een route zoals /login.

{
  "route": "/login",
  "redirect": "/.auth/login/github"
}

Als u wilt dat een gebruiker na aanmelding terugkeert naar een specifieke pagina, geeft u een volledig gekwalificeerde URL op in post_login_redirect_uri de queryreeksparameter.

Bijvoorbeeld:

<a href="/.auth/login/github?post_login_redirect_uri=https://zealous-water.azurestaticapps.net/success">Login</a>

Afmelden

De /.auth/logout route registreert gebruikers bij de website. U kunt een koppeling naar uw sitenavigatie toevoegen zodat de gebruiker zich kan afmelden, zoals wordt weergegeven in het volgende voorbeeld.

<a href="/.auth/logout">Log out</a>

U kunt een routeregel gebruiken om een route zoals /logout toe te wijsen.

{
  "route": "/logout",
  "redirect": "/.auth/logout"
}

Omleiding na af te wijzen

Als u wilt dat een gebruiker na de aanmelding terugkeert naar een specifieke pagina, geeft u een URL op in post_logout_redirect_uri de queryreeksparameter.

Een autorisatieprovider blokkeren

Mogelijk wilt u voorkomen dat uw app een autorisatieprovider gebruikt. Uw app wil bijvoorbeeld mogelijk alleen standaardiseren voor providers die e-mailadressen beschikbaar maken.

Als u een provider wilt blokkeren, kunt u routeregels maken om een 404 te retourneren voor aanvragen naar de route die specifiek is voor de geblokkeerde provider. Als u bijvoorbeeld Twitter als provider wilt beperken, voegt u de volgende routeregel toe.

{
  "route": "/.auth/login/twitter",
  "statusCode": 404
}

Beperkingen

Zie het artikel Quota voor algemene beperkingen en beperkingen.

Volgende stappen

Toegang tot gebruikersverificatie en autorisatiegegevens

^{1 Externe} certificering in behandeling.