Uwierzytelnianie niestandardowe w usłudze Azure Static Web Apps

Usługa Azure Static Web Apps udostępnia uwierzytelnianie zarządzane korzystające z rejestracji dostawców zarządzanych przez platformę Azure. Aby umożliwić większą elastyczność rejestracji, możesz zastąpić wartości domyślne rejestracją niestandardową.

• Uwierzytelnianie niestandardowe umożliwia również konfigurowanie dostawców niestandardowych obsługujących Połączenie OpenID. Ta konfiguracja umożliwia rejestrację wielu dostawców zewnętrznych.

• Użycie dowolnych rejestracji niestandardowych powoduje wyłączenie wszystkich wstępnie skonfigurowanych dostawców.

Uwaga

Uwierzytelnianie niestandardowe jest dostępne tylko w planie Usługi Azure Static Web Apps w warstwie Standardowa.

Konfigurowanie niestandardowego dostawcy tożsamości

Niestandardowi dostawcy tożsamości są skonfigurowani w auth sekcji pliku konfiguracji.

Aby uniknąć umieszczania wpisów tajnych w kontroli źródła, konfiguracja analizuje ustawienia aplikacji pod kątem pasującej nazwy w pliku konfiguracji. Możesz również przechowywać wpisy tajne w usłudze Azure Key Vault.

Microsoft Entra ID

Aby utworzyć rejestrację, zacznij od utworzenia następujących ustawień aplikacji:

Nazwa ustawienia	Wartość
AZURE_CLIENT_ID	Identyfikator aplikacji (klienta) dla rejestracji aplikacji Entra firmy Microsoft.
AZURE_CLIENT_SECRET	Wpis tajny klienta rejestracji aplikacji Microsoft Entra.

Następnie użyj poniższego przykładu, aby skonfigurować dostawcę w pliku konfiguracji.

Dostawcy firmy Microsoft Entra są dostępni w dwóch różnych wersjach. Wersja 1 jawnie definiuje element userDetailsClaim, który umożliwia ładunkowi zwracanie informacji o użytkowniku. Z kolei wersja 2 domyślnie zwraca informacje o użytkowniku i jest wyznaczona przez v2.0 adres openIdIssuer URL.

Microsoft Entra w wersji 1

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Pamiętaj, aby zastąpić <TENANT_ID> ciąg identyfikatorem dzierżawy firmy Microsoft Entra.

Microsoft Entra w wersji 2

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET"
        }
      }
    }
  }
}

Pamiętaj, aby zastąpić <TENANT_ID> ciąg identyfikatorem dzierżawy firmy Microsoft Entra.

Aby uzyskać więcej informacji na temat konfigurowania identyfikatora entra firmy Microsoft, zobacz dokumentację uwierzytelniania/autoryzacji usługi App Service dotyczącą korzystania z istniejącej rejestracji.

Aby skonfigurować konta, które mogą się zalogować, zobacz Modyfikowanie kont obsługiwanych przez aplikację i Ograniczanie aplikacji Microsoft Entra do zestawu użytkowników w dzierżawie firmy Microsoft Entra.

Uwaga

Podczas gdy sekcja konfiguracji identyfikatora Entra firmy Microsoft to azureActiveDirectory, alias platformy to aad w adresach URL na potrzeby logowania, wylogowywania i przeczyszczania informacji o użytkowniku. Aby uzyskać więcej informacji, zapoznaj się z sekcją uwierzytelniania i autoryzacji .

Apple

Aby utworzyć rejestrację, zacznij od utworzenia następujących ustawień aplikacji:

Nazwa ustawienia	Wartość
APPLE_CLIENT_ID	Identyfikator klienta firmy Apple.
APPLE_CLIENT_SECRET	Wpis tajny klienta firmy Apple.

Następnie użyj poniższego przykładu, aby skonfigurować dostawcę w pliku konfiguracji.

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Aby uzyskać więcej informacji na temat konfigurowania firmy Apple jako dostawcy uwierzytelniania, zobacz dokumentację uwierzytelniania/autoryzacji usługi App Service.

Facebook

Aby utworzyć rejestrację, zacznij od utworzenia następujących ustawień aplikacji:

Nazwa ustawienia	Wartość
FACEBOOK_APP_ID	Identyfikator aplikacji serwisu Facebook.
FACEBOOK_APP_SECRET	Wpis tajny aplikacji serwisu Facebook.

Następnie użyj poniższego przykładu, aby skonfigurować dostawcę w pliku konfiguracji.

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET"
        }
      }
    }
  }
}

Aby uzyskać więcej informacji na temat konfigurowania serwisu Facebook jako dostawcy uwierzytelniania, zobacz dokumentację dotyczącą uwierzytelniania/autoryzacji usługi App Service.

GitHub

Aby utworzyć rejestrację, zacznij od utworzenia następujących ustawień aplikacji:

Nazwa ustawienia	Wartość
GITHUB_CLIENT_ID	Identyfikator klienta usługi GitHub.
GITHUB_CLIENT_SECRET	Wpis tajny klienta usługi GitHub.

Następnie użyj poniższego przykładu, aby skonfigurować dostawcę w pliku konfiguracji.

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET"
        }
      }
    }
  }
}

Google

Aby utworzyć rejestrację, zacznij od utworzenia następujących ustawień aplikacji:

Nazwa ustawienia	Wartość
GOOGLE_CLIENT_ID	Identyfikator klienta Google.
GOOGLE_CLIENT_SECRET	Wpis tajny klienta Google.

Następnie użyj poniższego przykładu, aby skonfigurować dostawcę w pliku konfiguracji.

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET"
        }
      }
    }
  }
}

Aby uzyskać więcej informacji na temat konfigurowania usługi Google jako dostawcy uwierzytelniania, zobacz dokumentację uwierzytelniania/autoryzacji usługi App Service.

Twitter

Aby utworzyć rejestrację, zacznij od utworzenia następujących ustawień aplikacji:

Nazwa ustawienia	Wartość
TWITTER_CONSUMER_KEY	Klucz konsumenta twittera.
TWITTER_CONSUMER_SECRET	Twitter consumer secret.

Następnie użyj poniższego przykładu, aby skonfigurować dostawcę w pliku konfiguracji.

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "TWITTER_CONSUMER_KEY",
          "consumerSecretSettingName": "TWITTER_CONSUMER_SECRET"
        }
      }
    }
  }
}

Aby uzyskać więcej informacji na temat konfigurowania usługi Twitter jako dostawcy uwierzytelniania, zobacz dokumentację uwierzytelniania/autoryzacji usługi App Service.

OpenID Connect

Usługę Azure Static Web Apps można skonfigurować do używania niestandardowego dostawcy uwierzytelniania zgodnego ze specyfikacją openID Połączenie (OIDC). Poniższe kroki są wymagane do użycia niestandardowego dostawcy OIDC.

• Co najmniej jeden dostawca OIDC jest dozwolony.
• Każdy dostawca musi mieć unikatową nazwę w konfiguracji.
• Jako domyślny element docelowy przekierowania może służyć tylko jeden dostawca.

Rejestrowanie aplikacji u dostawcy tożsamości

Musisz zarejestrować szczegóły aplikacji u dostawcy tożsamości. Sprawdź dostawcę dotyczące kroków wymaganych do wygenerowania identyfikatora klienta i klucza tajnego klienta dla aplikacji.

Po zarejestrowaniu aplikacji u dostawcy tożsamości utwórz następujące wpisy tajne aplikacji w ustawieniach aplikacji statycznej aplikacji internetowej:

Nazwa ustawienia	Wartość
MY_PROVIDER_CLIENT_ID	Identyfikator klienta wygenerowany przez dostawcę uwierzytelniania dla statycznej aplikacji internetowej.
MY_PROVIDER_CLIENT_SECRET	Wpis tajny klienta wygenerowany przez niestandardową rejestrację dostawcy uwierzytelniania dla statycznej aplikacji internetowej.

Jeśli zarejestrujesz dodatkowych dostawców, każdy z nich potrzebuje skojarzonego identyfikatora klienta i magazynu wpisów tajnych klienta w ustawieniach aplikacji.

Ważne

Wpisy tajne aplikacji są poufnymi poświadczeniami zabezpieczeń. Nie udostępniaj tego wpisu tajnego nikomu, rozpowszechniaj go w aplikacji klienckiej ani nie zaewidencjonuj w kontroli źródła.

Po utworzeniu poświadczeń rejestracji wykonaj następujące kroki, aby utworzyć rejestrację niestandardową.

1. Potrzebujesz metadanych Połączenie OpenID dla dostawcy. Te informacje są często udostępniane za pośrednictwem dokumentu metadanych konfiguracji, który jest sufiksem adresu URL wystawcy dostawcy z sufiksem /.well-known/openid-configuration. Zbierz ten adres URL konfiguracji.

2. Dodaj sekcję authpliku konfiguracji z blokiem konfiguracji dla dostawców OIDC i definicją dostawcy.

   {
     "auth": {
       "identityProviders": {
         "customOpenIdConnectProviders": {
           "myProvider": {
             "registration": {
               "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
               "clientCredential": {
                 "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET"
               },
               "openIdConnectConfiguration": {
                 "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
               }
             },
             "login": {
               "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
               "scopes": [],
               "loginParameterNames": []
             }
           }
         }
       }
     }
   }
   

• W tym przykładzie nazwa myProvider dostawcy to unikatowy identyfikator używany przez usługę Azure Static Web Apps.
• Pamiętaj, aby zastąpić <PROVIDER_ISSUER_URL> ścieżką do adresu URL wystawcy dostawcy.
• Obiekt login umożliwia podanie wartości dla: zakresów niestandardowych, parametrów logowania lub oświadczeń niestandardowych.

Wywołania zwrotne uwierzytelniania

Dostawcy tożsamości wymagają adresu URL przekierowania, aby ukończyć żądanie logowania lub wylogowania. Większość dostawców wymaga dodania adresów URL wywołania zwrotnego do listy dozwolonych. Następujące punkty końcowe są dostępne jako miejsca docelowe przekierowania.

Type	Wzorzec adresu URL
Logowanie	https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback
Wyloguj	https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback

Jeśli używasz identyfikatora Entra firmy Microsoft, użyj aad jako wartości symbolu zastępczego <PROVIDER_NAME_IN_CONFIG> .

Uwaga

Te adresy URL są udostępniane przez usługę Azure Static Web Apps, aby otrzymywać odpowiedź od dostawcy uwierzytelniania. Nie trzeba tworzyć stron na tych trasach.

Szczegóły logowania, wylogowania i użytkownika

Aby użyć niestandardowego dostawcy tożsamości, użyj następujących wzorców adresów URL.

Akcja	Wzorzec
Logowanie	/.auth/login/<PROVIDER_NAME_IN_CONFIG>
Wyloguj	/.auth/logout
Szczegóły użytkownika	/.auth/me
Przeczyszczanie szczegółów użytkownika	/.auth/purge/<PROVIDER_NAME_IN_CONFIG>

Jeśli używasz identyfikatora Entra firmy Microsoft, użyj aad jako wartości symbolu zastępczego <PROVIDER_NAME_IN_CONFIG> .

Zarządzanie rolami

Każdy użytkownik, który uzyskuje dostęp do statycznej aplikacji internetowej, należy do co najmniej jednej roli. Istnieją dwie wbudowane role, do których użytkownicy mogą należeć:

• anonimowe: wszyscy użytkownicy automatycznie należą do roli anonimowej.
• uwierzytelnione: wszyscy użytkownicy, którzy są zalogowani, należą do uwierzytelnionej roli.

Poza rolami wbudowanymi można przypisywać role niestandardowe do użytkowników i odwoływać się do nich w pliku staticwebapp.config.json .

Zaproszenia

Dodawanie użytkownika do roli

Aby dodać użytkownika do roli, wygenerujesz zaproszenia, które umożliwiają kojarzenie użytkowników z określonymi rolami. Role są definiowane i utrzymywane w pliku staticwebapp.config.json .

Tworzenie zaproszenia

Zaproszenia są specyficzne dla poszczególnych dostawców autoryzacji, dlatego należy wziąć pod uwagę potrzeby aplikacji podczas wybierania dostawców do obsługi. Niektórzy dostawcy uwidaczniają adres e-mail użytkownika, a inni tylko podają nazwę użytkownika witryny.

Dostawca autoryzacji	Udostępnia
Identyfikator usługi Microsoft Entra	Adres e-mail
GitHub	nazwa użytkownika
Twitter	nazwa użytkownika

Wykonaj następujące kroki, aby utworzyć zaproszenie.

1. Przejdź do zasobu usługi Static Web Apps w witrynie Azure Portal.
2. W obszarze Ustawienia wybierz pozycję Zarządzanie rolami.
3. Wybierz pozycję Zaproś.
4. Wybierz dostawcę autoryzacji z listy opcji.
5. Dodaj nazwę użytkownika lub adres e-mail adresata w polu Szczegóły zaproszenia.
   • W przypadku usług GitHub i Twitter wprowadź nazwę użytkownika. Dla wszystkich innych wprowadź adres e-mail odbiorcy.
6. Wybierz domenę witryny statycznej z menu rozwijanego Domena .
   • Wybrana domena to domena wyświetlana w zaproszeniu. Jeśli masz domenę niestandardową skojarzona z witryną, wybierz domenę niestandardową.
7. Dodaj rozdzielaną przecinkami listę nazw ról w polu Rola .
8. Wprowadź maksymalną liczbę godzin, przez które zaproszenie ma pozostać prawidłowe.
   • Maksymalny możliwy limit wynosi 168 godzin, czyli siedem dni.
9. Wybierz Generuj.
10. Skopiuj link z pola Link Zaproś.
11. Wyślij wiadomość e-mail z linkiem do zaproszenia do użytkownika, do którego udzielasz dostępu.

Gdy użytkownik wybierze link w zaproszeniu, zostanie wyświetlony monit o zalogowanie się przy użyciu odpowiedniego konta. Po pomyślnym zalogowaniu użytkownik jest skojarzony z wybranymi rolami.

Uwaga

Upewnij się, że reguły tras nie powodują konfliktu z wybranymi dostawcami uwierzytelniania. Blokowanie dostawcy z regułą trasy uniemożliwia użytkownikom akceptowanie zaproszeń.

Aktualizacja przypisań roli

1. Przejdź do zasobu usługi Static Web Apps w witrynie Azure Portal.
2. W obszarze Ustawienia wybierz pozycję Zarządzanie rolami.
3. Wybierz użytkownika z listy.
4. Edytuj listę ról w polu Rola .
5. Wybierz Aktualizuj.

Usuń użytkownika

1. Przejdź do zasobu usługi Static Web Apps w witrynie Azure Portal.
2. W obszarze Ustawienia wybierz pozycję Zarządzanie rolami.
3. Znajdź użytkownika na liście.
4. Zaznacz pole wyboru w wierszu użytkownika.
5. Wybierz Usuń.

Podczas usuwania użytkownika należy pamiętać o następujących elementach:

• Usunięcie użytkownika unieważnia swoje uprawnienia.
• Propagacja na całym świecie może potrwać kilka minut.
• Jeśli użytkownik zostanie dodany z powrotem do aplikacji, zmianyuserId.

Funkcja (wersja zapoznawcza)

Zamiast korzystać z wbudowanego systemu zaproszeń, można użyć funkcji bezserwerowej do programowego przypisywania ról do użytkowników podczas logowania.

Aby przypisać role niestandardowe w funkcji, można zdefiniować funkcję interfejsu API, która jest automatycznie wywoływana po każdym pomyślnym uwierzytelnieniu użytkownika za pomocą dostawcy tożsamości. Funkcja jest przekazywana przez użytkownika informacji od dostawcy. Musi zwrócić listę ról niestandardowych przypisanych do użytkownika.

Przykładowe zastosowania tej funkcji obejmują:

• Wykonywanie zapytań względem bazy danych w celu określenia, które role ma zostać przypisane przez użytkownika
• Wywoływanie interfejsu API programu Microsoft Graph w celu określenia ról użytkownika na podstawie członkostwa w grupie usługi Active Directory
• Określanie ról użytkownika na podstawie oświadczeń zwracanych przez dostawcę tożsamości

Uwaga

Możliwość przypisywania ról za pośrednictwem funkcji jest dostępna tylko w przypadku skonfigurowania uwierzytelniania niestandardowego.

Po włączeniu tej funkcji wszystkie role przypisane za pośrednictwem wbudowanego systemu zaproszeń są ignorowane.

Konfigurowanie funkcji do przypisywania ról

Aby skonfigurować usługę Static Web Apps do używania funkcji interfejsu API jako funkcji przypisania roli, dodaj rolesSource właściwość do auth sekcji pliku konfiguracji aplikacji. Wartość rolesSource właściwości to ścieżka do funkcji interfejsu API.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

Uwaga

Po skonfigurowaniu funkcja przypisania roli nie może być już dostępna przez zewnętrzne żądania HTTP.

Tworzenie funkcji do przypisywania ról

Po zdefiniowaniu właściwości w konfiguracji aplikacji dodaj funkcję interfejsu rolesSource API w statycznej aplikacji internetowej w określonej ścieżce. Możesz użyć aplikacji funkcji zarządzanej lub przenieść własną aplikację funkcji.

Za każdym razem, gdy użytkownik pomyślnie uwierzytelnia się u dostawcy tożsamości, metoda POST wywołuje określoną funkcję. Funkcja przekazuje obiekt JSON w treści żądania, który zawiera informacje użytkownika od dostawcy. W przypadku niektórych dostawców tożsamości informacje o użytkowniku zawierają również informacje accessToken , za pomocą których funkcja może wykonywać wywołania interfejsu API przy użyciu tożsamości użytkownika.

Zobacz następujący przykładowy ładunek z identyfikatora Entra firmy Microsoft:

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

Funkcja może użyć informacji użytkownika, aby określić, które role mają zostać przypisane do użytkownika. Musi zwrócić odpowiedź HTTP 200 z treścią JSON zawierającą listę niestandardowych nazw ról, które mają zostać przypisane do użytkownika.

Na przykład aby przypisać użytkownika do Reader ról i Contributor , zwróć następującą odpowiedź:

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

Jeśli nie chcesz przypisywać żadnych innych ról do użytkownika, zwróć pustą roles tablicę.

Aby dowiedzieć się więcej, zobacz Samouczek: przypisywanie ról niestandardowych za pomocą funkcji i programu Microsoft Graph.

Następne kroki

Programowe ustawianie ról użytkowników