Конфигурация на основе файлов в проверке подлинности службы приложений Azure

С помощью проверки подлинности службы приложений можно настроить параметры проверки подлинности, используя файл. Вам может потребоваться конфигурация на основе файлов, чтобы использовать некоторые возможности предварительной версии проверки подлинности и авторизации службы приложений, прежде чем они будут предоставлены через API-интерфейсы Azure Resource Manager.

Важно!

Помните, что полезные данные приложения и этот файл можно перемещать между средами, как и слоты. Вполне вероятно, что для каждого слота будет закреплена отдельная регистрация приложения. В таких случаях следует продолжить использовать стандартный метод конфигурации, а не использовать файл.

Включение конфигурации на основе файла

  1. Создайте новый JSON-файл для конфигурации в корне проекта (развернутый в D:\home\site\wwwroot в веб-приложении или приложении-функции). Укажите требуемую конфигурацию в соответствии с ссылкой на конфигурацию на основе файла. При изменении существующей конфигурации Azure Resource Manager убедитесь, что свойства из коллекции authsettings перенесены в файл конфигурации.

  2. Измените существующую конфигурацию, которая находится в API Azure Resource Manager в разделе Microsoft.Web/sites/<siteName>/config/authsettingsV2. Для этого можно использовать шаблон Azure Resource Manager или другой инструмент, например обозреватель ресурсов Azure. В коллекции authsettingsV2 необходимо задать два свойства (возможно, потребуется удалить другие свойства):

    1. Присвойте значение true для platform.enabled
    2. Задайте platform.configFilePath в качестве имени файла (например, auth.json)

Примечание

Формат platform.configFilePath отличается для разных платформ. В Windows поддерживаются относительные и абсолютные пути, но рекомендуется использовать первый вариант. В Linux в настоящее время поддерживаются только абсолютные пути, поэтому значение параметра должно быть в виде /home/site/wwwroot/auth.json.

После обновления конфигурации содержимое файла будет использоваться для настройки аутентификации и авторизации Службы приложений для этого сайта. Если вы хотите вернуться к конфигурации Azure Resource Manager, отмените изменение значения параметра platform.configFilePath на null.

Ссылка на файл конфигурации

Все секреты, на которые будет ссылаться файл конфигурации, должны храниться в виде параметров приложения. Вы можете называть параметры как угодно. Главное, чтобы ссылки из файла конфигурации использовали одни и те же ключи.

Ниже перечислены возможные варианты конфигурации в файле.

{
    "platform": {
        "enabled": <true|false>
    },
    "globalValidation": {
        "unauthenticatedClientAction": "RedirectToLoginPage|AllowAnonymous|RejectWith401|RejectWith404",
        "redirectToProvider": "<default provider alias>",
        "excludedPaths": [
            "/path1",
            "/path2",
            "/path3/subpath/*"
        ]
    },
    "httpSettings": {
        "requireHttps": <true|false>,
        "routes": {
            "apiPrefix": "<api prefix>"
        },
        "forwardProxy": {
            "convention": "NoProxy|Standard|Custom",
            "customHostHeaderName": "<host header value>",
            "customProtoHeaderName": "<proto header value>"
        }
    },
    "login": {
        "routes": {
            "logoutEndpoint": "<logout endpoint>"
        },
        "tokenStore": {
            "enabled": <true|false>,
            "tokenRefreshExtensionHours": "<double>",
            "fileSystem": {
                "directory": "<directory to store the tokens in if using a file system token store (default)>"
            },
            "azureBlobStorage": {
                "sasUrlSettingName": "<app setting name containing the sas url for the Azure Blob Storage if opting to use that for a token store>"
            }
        },
        "preserveUrlFragmentsForLogins": <true|false>,
        "allowedExternalRedirectUrls": [
            "https://uri1.azurewebsites.net/",
            "https://uri2.azurewebsites.net/",
            "url_scheme_of_your_app://easyauth.callback"
        ],
        "cookieExpiration": {
            "convention": "FixedTime|IdentityDerived",
            "timeToExpiration": "<timespan>"
        },
        "nonce": {
            "validateNonce": <true|false>,
            "nonceExpirationInterval": "<timespan>"
        }
    },
    "identityProviders": {
        "azureActiveDirectory": {
            "enabled": <true|false>,
            "registration": {
                "openIdIssuer": "<issuer url>",
                "clientId": "<app id>",
                "clientSecretSettingName": "APP_SETTING_CONTAINING_AAD_SECRET",
            },
            "login": {
                "loginParameters": [
                    "paramName1=value1",
                    "paramName2=value2"
                ]
            },
            "validation": {
                "allowedAudiences": [
                    "audience1",
                    "audience2"
                ]
            }
        },
        "facebook": {
            "enabled": <true|false>,
            "registration": {
                "appId": "<app id>",
                "appSecretSettingName": "APP_SETTING_CONTAINING_FACEBOOK_SECRET"
            },
            "graphApiVersion": "v3.3",
            "login": {
                "scopes": [
                    "public_profile",
                    "email"
                ]
            },
        },
        "gitHub": {
            "enabled": <true|false>,
            "registration": {
                "clientId": "<client id>",
                "clientSecretSettingName": "APP_SETTING_CONTAINING_GITHUB_SECRET"
            },
            "login": {
                "scopes": [
                    "profile",
                    "email"
                ]
            }
        },
        "google": {
            "enabled": true,
            "registration": {
                "clientId": "<client id>",
                "clientSecretSettingName": "APP_SETTING_CONTAINING_GOOGLE_SECRET"
            },
            "login": {
                "scopes": [
                    "profile",
                    "email"
                ]
            },
            "validation": {
                "allowedAudiences": [
                    "audience1",
                    "audience2"
                ]
            }
        },
        "twitter": {
            "enabled": <true|false>,
            "registration": {
                "consumerKey": "<consumer key>",
                "consumerSecretSettingName": "APP_SETTING_CONTAINING TWITTER_CONSUMER_SECRET"
            }
        },
        "apple": {
            "enabled": <true|false>,
            "registration": {
                "clientId": "<client id>",
                "clientSecretSettingName": "APP_SETTING_CONTAINING_APPLE_SECRET"
            },
            "login": {
                "scopes": [
                    "profile",
                    "email"
                ]
            }
        },
        "openIdConnectProviders": {
            "<providerName>": {
                "enabled": <true|false>,
                "registration": {
                    "clientId": "<client id>",
                    "clientCredential": {
                        "clientSecretSettingName": "<name of app setting containing client secret>"
                    },
                    "openIdConnectConfiguration": {
                        "authorizationEndpoint": "<url specifying authorization endpoint>",
                        "tokenEndpoint": "<url specifying token endpoint>",
                        "issuer": "<url specifying issuer>",
                        "certificationUri": "<url specifying jwks endpoint>",
                        "wellKnownOpenIdConfiguration": "<url specifying .well-known/open-id-configuration endpoint - if this property is set, the other properties of this object are ignored, and authorizationEndpoint, tokenEndpoint, issuer, and certificationUri are set to the corresponding values listed at this endpoint>"
                    }
                },
                "login": {
                    "nameClaimType": "<name of claim containing name>",
                    "scopes": [
                        "openid",
                        "profile",
                        "email"
                    ],
                    "loginParameterNames": [
                        "paramName1=value1",
                        "paramName2=value2"
                    ],
                }
            },
            //...
        }
    }
}

Дополнительные ресурсы