Учебник. Добавление проверки подлинности в веб-приложение, работающее в Службе приложений Azure

Узнайте, как включить проверку подлинности в веб-приложении, работающем в Службе приложений Azure, и ограничить доступ для пользователей в организации.

В этом руководстве вы узнаете, как:

  • настроить проверку подлинности для веб-приложения;
  • Предоставьте доступ к веб-приложению только пользователям в организации, используя Azure Active Directory (Azure AD) в качестве поставщика удостоверений.

Автоматическая проверка подлинности, предоставляемая Службой приложений

Служба приложений обеспечивает встроенную поддержку проверки подлинности и авторизации, поэтому для входа пользователей в систему не придется писать код в веб-приложении. Необязательный модуль проверки подлинности и авторизации Службы приложений упрощает проверку подлинности и авторизацию для вашего приложения. Когда вы будете готовы к пользовательской проверке подлинности и авторизации, вы создадите эту архитектуру.

Преимущества проверки подлинности в службе приложений:

  • Легко включить и настроить с помощью портала Azure и параметров приложения.
  • Для кода приложения не нужны пакеты SDK, определенные языки или изменения.
  • Поддерживается несколько поставщиков удостоверений:
    • Azure AD
    • Учетная запись Майкрософт
    • Facebook
    • Google
    • Twitter

Если включен модуль проверки подлинности или авторизации, каждый входящий HTTP-запрос проходит через этот модуль до обработки кодом приложения. Дополнительные сведения см. в статье Проверка подлинности и авторизация в Службе приложений Azure.

Подключение к серверным службы в качестве приложения

Проверка подлинности пользователей может начинаться с проверки подлинности пользователя в службе приложений, как описано в предыдущем разделе.

Diagram that shows user sign-in.

Когда у службы приложений будет удостоверение, прошедшее проверку подлинности, системе необходимо будет подключиться к внутренним службам от имени приложения:

  • Используйте управляемое удостоверение. Если управляемое удостоверение недоступно, используйте Key Vault.

  • Удостоверению пользователя не нужно выполнять дальнейший поток. Дополнительные меры безопасности для доступа к внутренним службам обрабатываются с помощью удостоверения службы приложений.

1. Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

2. Создание и публикация веб-приложения в Службе приложений

Для работы с этим учебником потребуется развернуть веб-приложение в Службе приложений. Вы можете использовать существующее веб-приложение или создать и опубликовать веб-приложение в Службе приложений, выполнив инструкции из одного из кратких руководств:

При создании нового приложения или использовании существующего запишите следующие данные:

  • Имя веб-приложения.
  • Группа ресурсов, в которую развертывается веб-приложение.

Эти имена вам понадобятся при дальнейшей работе с этим учебником.

3. Настройка проверки подлинности и авторизации

Теперь, когда у вас есть веб-приложение, работающее в Службе приложений, включите проверку подлинности и авторизацию. В качестве поставщика удостоверений будет использоваться Azure AD. Дополнительные сведения см. в статье Настройка проверки подлинности Azure AD для приложения Службы приложений.

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт.

  2. В разделе Группы ресурсов найдите и выберите свою группу ресурсов. В разделе Обзор выберите страницу управления приложения.

    Screenshot that shows selecting your app's management page.

  3. В меню слева в приложении выберите Проверка подлинности и щелкните Добавить поставщик удостоверений.

  4. На странице Добавление поставщика удостоверений выберите Майкрософт в качестве поставщика удостоверений для входа в удостоверения Майкрософт и Azure AD.

  5. В разделе Регистрация приложения>Тип регистрации приложения выберите Создание регистрации приложения.

  6. В разделе Регистрация приложения>Поддерживаемые типы учетных записей выберите Текущий клиент — один клиент.

  7. В разделе Параметры проверки подлинности службы приложений оставьте для параметра Проверка подлинности значение Требуется проверка подлинности, а для параметра Запросы без проверки подлинности — значение Перенаправление HTTP 302 Found: рекомендуется для веб-сайтов.

  8. В нижней части страницы Добавление поставщика удостоверений нажмите кнопку Добавить, чтобы включить проверку подлинности для веб-приложения.

    Screenshot that shows configuring authentication.

    Теперь у вас есть приложение, которое защищено функциями проверки подлинности и авторизации в Службе приложений.

    Примечание

    Чтобы разрешить доступ учетным записям от других клиентов, измените "URL-адрес издателя" на "https://login.microsoftonline.com/common/v2.0" путем изменения поставщика удостоверений в колонке "Проверка подлинности".

4. Проверка ограниченного доступа к веб-приложению

При включении модуля проверки подлинности и авторизации Службы приложений в клиенте Azure AD в предыдущем разделе была создана регистрация приложения. Регистрация приложения имеет то же отображаемое имя, что и веб-приложение.

  1. Чтобы проверить параметры, выберите в меню портала Azure Active Directory, а затем — Регистрация приложений.

  2. Выберите созданную регистрацию приложения.

  3. На странице обзора убедитесь, что для параметра Поддерживаемые типы учетных записей задано значение Только моя организация.

    Screenshot that shows verifying access.

  4. Чтобы убедиться, что для пользователей вашей организации ограничен доступ к приложению, запустите браузер в режиме инкогнито или частном режиме и перейдите по адресу https://<app-name>.azurewebsites.net.

  5. Вы должны быть перенаправлены на защищенную страницу входа. Это доказывает, что пользователи, которые не прошли проверку подлинности, не имеют доступа к сайту.

  6. Войдите в систему как пользователь организации, чтобы получить доступ к сайту. Вы также можете открыть новый браузер и попытаться войти с помощью личной учетной записи, чтобы убедиться, что у пользователей за пределами организации нет доступа.

5. Очистка ресурсов

Если вы выполнили все шаги из этого учебника, состоящего из нескольких частей, то уже создали службу приложений, план размещения службы приложений и учетную запись хранения в группе ресурсов. Вы также создали регистрацию приложения в Azure Active Directory. Если ресурсы и регистрация приложения больше не нужны, удалите их, чтобы за них не взималась плата.

В этом руководстве вы узнаете, как:

  • удалять ресурсы Azure, созданные при работе с этим учебником.

удаление группы ресурсов.

В меню портала Azure щелкните Группы ресурсов и выберите группу ресурсов, содержащую службу приложений и план службы приложений.

Щелкните Удалить группу ресурсов. Одновременно с группой ресурсов удаляются все содержащиеся в ней ресурсы.

Screenshot that shows deleting the resource group.

Выполнение этой команды может занять несколько минут.

Удаление регистрации приложения

В меню портала выберите Azure Active Directory>Регистрация приложений. Затем выберите созданное вами приложение. Screenshot that shows selecting app registration.

В разделе общих сведений регистрации приложения выберите Удалить. Screenshot that shows deleting the app registration.

Дальнейшие действия

В этом руководстве вы узнали, как:

  • настроить проверку подлинности для веб-приложения;
  • ограничить доступ к веб-приложению для пользователей в организации.