Hanterade identiteter för Azure Web PubSub Service

  • Artikel

Den här artikeln visar hur du skapar en hanterad identitet för Azure Web PubSub Service och hur du använder den.

Viktigt!

Azure Web PubSub Service har endast stöd för en hanterad identitet. Det innebär att du kan lägga till antingen en systemtilldelad identitet eller en användartilldelad identitet.

Lägga till en systemtilldelad identitet

Om du vill konfigurera en hanterad identitet i Azure-portalen skapar du först en Azure Web PubSub Service-instans och aktiverar sedan funktionen.

  1. Skapa en Azure Web PubSub Service-instans i portalen som vanligt. Bläddra till den i portalen.

  2. Välj Identitet.

  3. På fliken Systemtilldelat växlar du Status till . Välj Spara.

    Add a system-assigned identity in the portal

Lägga till en användartilldelad identitet

Om du skapar en Azure Web PubSub Service-instans med en användartilldelad identitet måste du skapa identiteten och sedan lägga till dess resursidentifierare i din tjänst.

  1. Skapa en användartilldelad hanterad identitetsresurs enligt dessa instruktioner.

  2. Skapa en Azure Web PubSub Service-instans i portalen som vanligt. Bläddra till den i portalen.

  3. Välj Identitet.

  4. På fliken Användartilldelade väljer du Lägg till.

  5. Sök efter den identitet som du skapade tidigare och välj den. Markera Lägga till.

    Add a user-assigned identity in the portal

Använda en hanterad identitet i klienthändelsescenarier

Azure Web PubSub Service är en fullständigt hanterad tjänst, så du kan inte använda en hanterad identitet för att hämta token manuellt. När Azure Web PubSub Service i stället skickar händelser till händelsehanteraren använder den hanterade identiteten för att hämta en åtkomsttoken. Tjänsten anger sedan åtkomsttoken i Authorization huvudet i http-begäran.

Aktivera hanterad identitetsautentisering i händelsehanterarinställningar

  1. Lägg till en systemtilldelad identitet eller användartilldelad identitet.

  2. Gå till Konfigurera hubb Inställningar och lägg till eller redigera en händelsehanterare uppströms.

    msi-setting

  3. I avsnittet Autentisering väljer du Använd autentisering och markerar Ange den utfärdade tokenpubliken. Målgruppen blir anspråket aud i den erhållna åtkomsttoken, som kan användas som en del av valideringen i händelsehanteraren. Du kan välja något av följande:

    • Välj bland befintliga Microsoft Entra-program. Program-ID:t för den du väljer används.
    • Program-ID-URI:n för tjänstens huvudnamn.

    Viktigt!

    Använd tom resurs för att snabbt hämta ett tokenmål till Microsoft Graph. Precis som i dag aktiverar Microsoft Graph tokenkryptering så att det inte är tillgängligt för program att autentisera den andra token än Microsoft Graph. I vanliga fall bör du alltid skapa ett huvudnamn för tjänsten för att representera ditt överordnade mål. Ange program-ID eller program-ID-URI för tjänstens huvudnamn som du har skapat.

Autentisering i en funktionsapp

Du kan enkelt ange åtkomstverifiering för en funktionsapp utan kodändringar med hjälp av Azure-portalen:

  1. Gå till funktionsappen i Azure-portalen.

  2. Markera Autentisering på kommandomenyn.

  3. Välj Lägg till identitetsprovider.

  4. På fliken Grundläggande väljer du Microsoft i listrutan Identitetsprovider.

  5. I Åtgärd att vidta när begäran inte har autentiserats väljer du Logga in med Microsoft Entra-ID.

  6. Alternativet för att skapa en ny registrering är valt som standard. Du kan ändra namnet på registreringen. Mer information om hur du aktiverar en Microsoft Entra-provider finns i Konfigurera din App Service- eller Azure Functions-app för att använda en Microsoft Entra-ID-inloggning.

    Screenshot that shows basic information for adding an identity provider.

  7. Gå till Azure SignalR Service och följ stegen för att lägga till en systemtilldelad identitet eller användartilldelad identitet.

  8. I Azure SignalR Service går du till Överordnade inställningar och väljer sedan Använd hanterad identitet och Välj från befintliga program. Välj det program som du skapade tidigare.

När du har konfigurerat de här inställningarna avvisar funktionsappen begäranden utan en åtkomsttoken i huvudet.

Verifiera åtkomsttoken

Om du inte använder WebApp eller Azure Function kan du även verifiera token.

Token i Authorization huvudet är en Microsofts identitetsplattform åtkomsttoken.

För att verifiera åtkomsttoken bör appen även verifiera målgruppen och signeringstoken. Dessa måste verifieras mot värdena i OpenID-identifieringsdokumentet. Se till exempel den klientoberoende versionen av dokumentet.

Microsoft Entra-mellanprogrammet har inbyggda funktioner för validering av åtkomsttoken. Du kan bläddra igenom våra exempel för att hitta ett på valfritt språk.

Vi tillhandahåller bibliotek och kodexempel som visar hur du hanterar tokenverifiering. Det finns också flera partnerbibliotek med öppen källkod som är tillgängliga för JSON Web Token-validering (JWT). Det finns minst ett alternativ för nästan alla plattformar och språk där ute. Mer information om Microsoft Entra-auktoriseringsbibliotek och kodexempel finns i Microsofts identitetsplattform autentiseringsbibliotek.

Om händelsehanteraren är värd i Azure Function eller Web Apps är ett enkelt sätt att konfigurera Microsoft Entra-inloggning.

Använda en hanterad identitet för Key Vault-referens

Web PubSub Service kan komma åt Key Vault för att få hemlighet med hjälp av den hanterade identiteten.

  1. Lägg till en systemtilldelad identitet eller användartilldelad identitet för Azure Web PubSub Service.

  2. Bevilja hemlig läsbehörighet för den hanterade identiteten i åtkomstprinciperna i Key Vault. Se Tilldela en Key Vault-åtkomstprincip med hjälp av Azure-portalen

För närvarande kan den här funktionen användas i följande scenarier:

  • Använd syntax för {@Microsoft.KeyVault(SecretUri=<secret-identity>)} att hämta hemligheter från KeyVault i inställningen för händelsehanterarens URL-mall.

Nästa steg