Настройка приложения Службы приложений или службы "Функции Azure" для входа с помощью поставщика OpenID Connect

В этой статье содержатся сведения о том, как настроить Службу приложений Azure или Функции Azure так, чтобы они использовали пользовательский поставщик проверки подлинности, который соответствует спецификации OpenID Connect. OpenID Connect (OIDC) — это промышленный стандарт, используемый многими поставщиками удостоверений (IDP). Для настройки приложения таким образом, чтобы оно использовало соответствующий IDP, понимать особенности спецификации не обязательно.

Вы можете настроить приложение так, чтобы оно использовало один или несколько поставщиков OIDC. Каждому из них нужно присвоить уникальное буквенно-цифровое имя в конфигурации. Кроме того, целевым объектом перенаправления по умолчанию может быть только один из таких поставщиков.

Регистрация приложения с помощью поставщика удостоверений

Поставщик потребует зарегистрировать сведения о приложении. На одном из этапов потребуется указать универсальный код ресурса (URI) перенаправления. Этот код URI перенаправления будет иметь вид <app-url>/.auth/login/<provider-name>/callback. Каждый поставщик удостоверений должен предоставить дополнительные инструкции по выполнению этих действий.

Примечание

Для настройки некоторых поставщиков, а также указания того, как использовать предоставляемые ими значения, вам, возможно, придется выполнить дополнительные действия. Например, компания Apple предоставляет закрытый ключ, который нельзя использовать в качестве секрета клиента OIDC. Его необходимо применять для создания маркера JWT, который рассматривается как секрет, который вы задаете в конфигурации приложения (см. раздел "Создание секрета клиента" документации по входу с помощью Apple)

Вам понадобится получить идентификатор клиента и секрет клиента для приложения.

Важно!

Секрет клиента — это важные учетные данные безопасности. Не сообщайте этот секрет никому и не раскрывайте его в клиентском приложении.

Кроме того, вам понадобятся метаданные OpenID Connect для поставщика. Метаданные можно найти в документе метаданных конфигурации, который представляет собой URL-адрес поставщика с суффиксом /.well-known/openid-configuration. Получите этот URL-адрес конфигурации.

Если вы не можете использовать документ метаданных конфигурации, необходимо отдельно собрать следующие значения:

Добавление сведений о поставщике в приложение

  1. Войдите на [портал Azure] и перейдите к своему приложению.
  2. В меню слева выберите пункт Проверка подлинности. Нажмите Добавить поставщика удостоверений.
  3. Выберите OpenID Connect в раскрывающемся списке поставщиков удостоверений.
  4. Укажите уникальное буквенно-цифровое имя, выбранное ранее в качестве имени поставщика OpenID Connect.
  5. Если у вас есть URL-адрес документа метаданных от поставщика удостоверений, укажите это значение в поле URL-адрес метаданных. В противном случае выберите параметр Укажите конечные точки отдельно и добавьте все URL-адреса, полученные от поставщика удостоверений, в соответствующем поле.
  6. Укажите ранее полученные идентификатор клиента и секрет клиента в соответствующих полях.
  7. Укажите имя параметра приложения для секрета клиента. Секрет клиента будет храниться в качестве параметра приложения в целях безопасности. Впоследствии этот параметр можно обновить, чтобы использовать ссылки Key Vault, если вы хотите управлять секретом в Azure Key Vault.
  8. Нажмите кнопку Добавить, чтобы завершить настройку поставщика удостоверений.

Следующие шаги