App Service veya Azure Işlevleri uygulamanızı Azure AD oturum açma bilgilerini kullanacak şekilde yapılandırma

  • Makale
  • Okumak için 9 dakika

bu makalede, uygulamanızın kimlik doğrulama sağlayıcısı olarak Microsoft kimlik platformu (azure AD) ile oturum açması için Azure App Service veya Azure işlevleri için kimlik doğrulamanın nasıl yapılandırılacağı gösterilmektedir.

App Service kimlik doğrulaması özelliği, Microsoft kimlik platformu otomatik olarak bir uygulama kaydı oluşturabilir. Ayrıca sizin veya bir dizin yöneticisinin ayrı olarak oluşturduğu bir kayıt da kullanabilirsiniz.

Not

Yeni kayıt oluşturma seçeneği, kamu bulutları için kullanılamaz. Bunun yerine, bir kaydı ayrı olarak tanımlayın.

1. seçenek: otomatik olarak yeni bir uygulama kaydı oluşturma

Bu seçenek kimlik doğrulamanın basit olmasını sağlamak için tasarlanmıştır ve yalnızca birkaç tıklama gerektirir.

  1. [Azure Portal] oturum açın ve uygulamanıza gidin.

  2. Soldaki menüden kimlik doğrulaması ' nı seçin. Kimlik sağlayıcısı ekle' ye tıklayın.

  3. Kimlik sağlayıcısı açılan menüsünde Microsoft ' u seçin. Yeni kayıt oluşturma seçeneği varsayılan olarak seçilidir. Kaydın adını veya desteklenen hesap türlerini değiştirebilirsiniz.

    Bir istemci parolası oluşturulup adlı bir yuva yapışkan uygulama ayarı olarak depolanır MICROSOFT_PROVIDER_AUTHENTICATION_SECRET . Azure Key Vault gizli anahtarı yönetmek istiyorsanız bu ayarı daha sonra Key Vault başvurularını kullanacak şekilde güncelleştirebilirsiniz.

  4. Uygulama için yapılandırılan ilk kimlik sağlayıcısıysanız, App Service kimlik doğrulama ayarları bölümü de istenir. Aksi halde, bir sonraki adıma geçebilirsiniz.

    Bu seçenekler, uygulamanızın kimliği doğrulanmamış isteklere nasıl yanıt vereceğini ve varsayılan seçimlerin bu yeni sağlayıcı ile oturum açmak için tüm istekleri yeniden yönlenceğini belirtir. Bu davranışı şimdi özelleştirmeyi, kimlik doğrulama ayarları' nın yanındaki Düzenle ' ye tıklayarak bu ayarları daha sonra ana kimlik doğrulama ekranından ayarlayabilirsiniz. Bu seçenekler hakkında daha fazla bilgi edinmek için bkz. kimlik doğrulama akışı.

  5. Seçim İleri ' ye tıklayın ve uygulama için gereken tüm kapsamları ekleyin. Bunlar uygulama kaydına eklenecektir, ancak daha sonra da değiştirebilirsiniz.

  6. Ekle'ye tıklayın.

artık uygulamanızda kimlik doğrulaması için Microsoft kimlik platformu kullanmaya hazırsınız. Sağlayıcı, kimlik doğrulama ekranında listelenecektir. Buradan, bu sağlayıcı yapılandırmasını düzenleyebilir veya silebilirsiniz.

azure Depolama ve Microsoft Graph erişen bir web uygulaması için azure AD oturum açma yapılandırması örneği için bu öğreticiyebakın.

2. seçenek: Ayrıca oluşturulan mevcut bir kaydı kullanın

ayrıca, Microsoft kimlik platformu için uygulamanızı el ile kaydedebilir, kaydı özelleştirerek ve App Service kimlik doğrulamasını kayıt ayrıntıları ile yapılandırabilirsiniz. Bu, örneğin, farklı bir Azure AD kiracısından uygulamanızın içinde yer aldığı bir uygulama kaydını kullanmak istiyorsanız yararlıdır.

App Service uygulamanız IÇIN Azure AD 'de bir uygulama kaydı oluşturma

İlk olarak, uygulama kaydınızı oluşturacaksınız. Bunu yaparken, App Service uygulamasında kimlik doğrulamasını yapılandırırken daha sonra ihtiyacınız olacak aşağıdaki bilgileri toplayın:

  • İstemci Kimliği
  • Kiracı Kimliği
  • İstemci parolası (isteğe bağlı)
  • Uygulama KIMLIĞI URI 'SI

Uygulamayı kaydetmek için aşağıdaki adımları uygulayın:

  1. [Azure Portal]oturum açın, uygulama hizmetleri' ni arayıp seçin ve ardından uygulamanızı seçin. Uygulamanızın URL 'sini aklınızda edin. Azure Active Directory uygulama kaydınızı yapılandırmak için kullanacaksınız.

  2. portal menüsünden Azure Active Directory' i seçin, sonra Uygulama kayıtları sekmesine gidin ve yeni kayıt' ı seçin.

  3. Uygulama kaydetme sayfasında, uygulama kaydınız Için bir ad girin.

  4. Yeniden yönlendirme URI 'si içinde Web ' i seçin ve yazın <app-url>/.auth/login/aad/callback . Örneğin, https://contoso.azurewebsites.net/.auth/login/aad/callback.

  5. Kaydet’i seçin.

  6. Uygulama kaydı oluşturulduktan sonra, daha sonra için uygulama (istemci) kimliğini ve Dizin (kiracı) kimliğini kopyalayın.

  7. Kimlik Doğrulaması'nı seçin. örtük verme ve karma akışlar altında, App Service Bağlan kullanıcı oturum açma işlemlerinin openıd izin vermesi için kimlik belirteçlerini etkinleştirin. Kaydet’i seçin.

  8. Seçim Marka seçin. Giriş sayfası URL 'si' nde App Service uygulamanızın URL 'sini girin ve Kaydet' i seçin.

  9. BIR API 'Yi kullanıma sunma ' yı seçin ve "uygulama kimliği URI 'si" seçeneğinin yanındaki Ayarla ' ya tıklayın Bu değer, kaynak olarak kullanıldığında uygulamayı benzersiz bir şekilde tanımlar ve belirteçleri erişim izni vermek için izin verir. Oluşturduğunuz kapsamlar için bir ön ek olarak kullanılır.

    Tek kiracılı bir uygulama için, form biçiminde olan varsayılan değeri kullanabilirsiniz api://<application-client-id> . https://contoso.com/apiKiracınız için doğrulanmış etki alanlarından birini temel alan gibi daha okunabilir BIR URI de belirtebilirsiniz. Çok kiracılı bir uygulama için özel bir URI sağlamanız gerekir. Uygulama KIMLIĞI URI 'Leri için kabul edilen biçimler hakkında daha fazla bilgi edinmek için bkz. uygulama kayıtları en iyi yöntemler başvurusu.

    Değer otomatik olarak kaydedilir.

  10. Kapsam ekle’yi seçin.

    1. Kapsam Ekle' de, uygulama kimliği URI 'si , önceki adımda ayarladığınız değerdir. Kaydet ve devam et’i seçin.
    2. Kapsam adı alanına user_impersonation girin.
    3. Metin kutularına kullanıcıların onay sayfasında görmesini istediğiniz izin kapsam adını ve açıklamasını girin. Örneğin, Access < uygulama adı > girin.
    4. Kapsam Ekle' yi seçin.

  11. Seçim Bir istemci parolası oluşturmak için, Sertifikalar & gizli dizi istemci gizli dizileri ' ni seçin > > . Bir açıklama ve süre sonu girin ve Ekle' yi seçin. Sayfada gösterilen istemci gizli değerini kopyalayın. Yeniden gösterilmeyecektir.

  12. Seçim Birden çok yanıt URL 'si eklemek Için kimlik doğrulaması' nı seçin.

App Service uygulamanızda Azure Active Directory etkinleştirme

  1. [Azure Portal] oturum açın ve uygulamanıza gidin.

  2. Soldaki menüden kimlik doğrulaması ' nı seçin. Kimlik sağlayıcısı ekle' ye tıklayın.

  3. Kimlik sağlayıcısı açılan menüsünde Microsoft ' u seçin.

  4. Uygulama kayıt türü için, gerekli uygulama bilgilerini otomatik olarak toplayan Bu dizinde var olan bir uygulama kaydını seçmeyi seçebilirsiniz. Kaydınız başka bir kiracıya ait ise veya kayıt nesnesini görüntüleme izniniz yoksa, var olan bir uygulama kaydının ayrıntılarını sağla' yı seçin. Bu seçenek için aşağıdaki yapılandırma ayrıntılarını doldurmanız gerekir:

    Alan Açıklama
    Uygulama (istemci) kimliği Uygulama kaydının uygulama (istemci) kimliğini kullanın.
    İstemci Gizli Anahtarı Uygulama kaydında oluşturduğunuz istemci gizli anahtarını kullanın. İstemci gizli anahtarı ile karma akış kullanılır ve App Service erişim ve yenileme belirteçleri döndürür. İstemci parolası ayarlanmamışsa, örtük akış kullanılır ve yalnızca bir KIMLIK belirteci döndürülür. Bu belirteçler sağlayıcı tarafından gönderilir ve EasyAuth belirteç deposunda depolanır.
    Veren URL 'Si <authentication-endpoint>/<tenant-id>/v2.0' İ kullanın ve, <authentication-endpoint> bulut ortamınız için kimlik doğrulama uç noktası ile değiştirin (örneğin, " https://login.microsoftonline.com Genel Azure için"), Ayrıca, <tenant-id> uygulama KAYDıNıN oluşturulduğu Dizin (kiracı) kimliğiyle değiştirin. Bu değer, kullanıcıları doğru Azure AD kiracısına yönlendirmek için ve ilgili meta verileri, uygun belirteç imzalama anahtarları ve belirteç verenin talep değerini öğrenmek için indirmek için kullanılır. Azure AD v1 ve Azure Işlevleri uygulamaları için kullanılan uygulamalar için /v2.0 URL 'de atlayın.
    İzin verilen belirteç Izleyicileri Bu bir bulut veya sunucu uygulaması ise ve bir Web uygulamasından kimlik doğrulama belirteçlerine izin vermek istiyorsanız, Web uygulamasının uygulama KIMLIĞI URI 'sini buraya ekleyin. Yapılandırılan ISTEMCI kimliği her zaman örtük olarak izin verilen bir hedef kitle olarak kabul edilir.

    İstemci parolası adlı bir yuva yapışkan uygulama ayarı olarak depolanır MICROSOFT_PROVIDER_AUTHENTICATION_SECRET . Azure Key Vault gizli anahtarı yönetmek istiyorsanız bu ayarı daha sonra Key Vault başvurularını kullanacak şekilde güncelleştirebilirsiniz.

  5. Uygulama için yapılandırılan ilk kimlik sağlayıcısıysanız, App Service kimlik doğrulama ayarları bölümü de istenir. Aksi halde, bir sonraki adıma geçebilirsiniz.

    Bu seçenekler, uygulamanızın kimliği doğrulanmamış isteklere nasıl yanıt vereceğini ve varsayılan seçimlerin bu yeni sağlayıcı ile oturum açmak için tüm istekleri yeniden yönlenceğini belirtir. Bu davranışı şimdi özelleştirmeyi, kimlik doğrulama ayarları' nın yanındaki Düzenle ' ye tıklayarak bu ayarları daha sonra ana kimlik doğrulama ekranından ayarlayabilirsiniz. Bu seçenekler hakkında daha fazla bilgi edinmek için bkz. kimlik doğrulama akışı.

  6. Ekle'ye tıklayın.

artık uygulamanızda kimlik doğrulaması için Microsoft kimlik platformu kullanmaya hazırsınız. Sağlayıcı, kimlik doğrulama ekranında listelenecektir. Buradan, bu sağlayıcı yapılandırmasını düzenleyebilir veya silebilirsiniz.

İstemci uygulamalarını App Service erişmek için yapılandırma

Önceki bölümde, kullanıcıların kimliğini doğrulamak için App Service veya Azure işlevinizi kaydettiniz. Bu bölümde, yerel istemci veya Daemon uygulamalarının Kullanıcı adına veya kendilerine ait App Service tarafından açığa çıkarılan API 'lere erişim isteyebilecekleri şekilde nasıl kaydedileceği açıklanmaktadır. Yalnızca kullanıcıların kimliğini doğrulamak istiyorsanız, bu bölümdeki adımları tamamlamak gerekli değildir.

Yerel istemci uygulaması

Oturum açmış bir kullanıcı adına App Service uygulamanızın API 'Lerine erişim istemek için yerel istemcileri kaydedebilirsiniz.

  1. [Azure Portal] > > Yeni kayıt uygulama kayıtları Active Directory seçin.

  2. Uygulama kaydetme sayfasında, uygulama kaydınız Için bir ad girin.

  3. Yeniden yönlendirme URI 'si içinde ortak istemci (mobil & Masaüstü) öğesini seçin ve URL 'yi yazın <app-url>/.auth/login/aad/callback . Örneğin, https://contoso.azurewebsites.net/.auth/login/aad/callback.

    Not

    Microsoft Store bir uygulama için, bunun yerine urı olarak paket sıd 'sini kullanın.

  4. Oluştur’u seçin.

  5. Uygulama kaydı oluşturulduktan sonra, uygulama (istemci) kimliği değerini kopyalayın.

  6. API izinleri Seç > > API 'lerim izin Ekle.

  7. Daha önce App Service uygulamanız için oluşturduğunuz uygulama kaydını seçin. Uygulama kaydını görmüyorsanız, App Service uygulamanız Için Azure AD 'de uygulama kaydı oluşturmabölümüne user_impersonation kapsamını eklediğinizden emin olun.

  8. Temsilci izinleri altında user_impersonation' yi seçin ve ardından izin Ekle' yi seçin.

Artık App Service uygulamanıza Kullanıcı adına erişim isteyebileceğini bir yerel istemci uygulaması yapılandırdınız.

Daemon istemci uygulaması (hizmetten hizmete çağrılar)

Uygulamanız, App Service veya Işlev uygulamanızda barındırılan bir Web API 'sini kendi adına (Kullanıcı adına değil) çağırmak için bir belirteç alabilir. Bu senaryo, oturum açmış bir kullanıcı olmadan görevleri gerçekleştiren Etkileşimli olmayan Daemon uygulamaları için yararlıdır. Standart OAuth 2,0 istemci kimlik bilgileri izni ' nı kullanır.

  1. [Azure Portal] > > Yeni kayıt uygulama kayıtları Active Directory seçin.
  2. Uygulama kaydetme sayfasında, Daemon uygulama kaydınız Için bir ad girin.
  3. Bir Daemon uygulaması için bir yeniden yönlendirme URI 'SI gerekmez, bu da boş bırakabilirsiniz.
  4. Oluştur’u seçin.
  5. Uygulama kaydı oluşturulduktan sonra, uygulama (istemci) kimliği değerini kopyalayın.
  6. Sertifikalar & gizli > anahtar Ekle yeni istemci parolası' nı seçin > . Sayfada gösterilen istemci gizli değerini kopyalayın. Yeniden gösterilmeyecektir.

Artık, parametreyi hedef uygulamanın uygulama KIMLIĞI URI 'sine ayarlayarak ISTEMCI kimliğini ve istemci gizli anahtarını kullanarak bir erişim belirteci isteyebilirsiniz resource . Elde edilen erişim belirteci daha sonra, standart OAuth 2,0 yetkilendirme üst bilgisikullanılarak hedef uygulamaya sunulabilir ve App Service kimlik doğrulaması/yetkilendirme, Şimdi çağıranın (Bu durumda bir kullanıcı değil) kimliğinin doğrulandığını göstermek için belirteci doğrular ve kullanır.

Bu durumda, Azure AD kiracınızdaki Tüm istemci uygulamalarının erişim belirteci istemesi ve hedef uygulamada kimlik doğrulaması yapmasına izin verir. Ayrıca, yalnızca belirli istemci uygulamalarına izin vermek için Yetkilendirmeyi zorlamak istiyorsanız, bazı ek yapılandırmalar gerçekleştirmeniz gerekir.

  1. Korumak istediğiniz App Service veya Işlev uygulamasını temsil eden uygulama kaydının bildiriminde bir uygulama rolü tanımlayın .
  2. Yetkilendirilmiş olması gereken istemciyi temsil eden uygulama kaydında, API izinleri > izin Ekle > API 'leri seçin.
  3. Daha önce oluşturduğunuz uygulama kaydını seçin. Uygulama kaydını görmüyorsanız, bir uygulama rolüeklediğinizden emin olun.
  4. Uygulama izinleri altında, daha önce oluşturduğunuz uygulama rolünü seçin ve ardından izin Ekle' yi seçin.
  5. İstemci uygulamasını izin istemek üzere yetkilendirmek için yönetici Izni ver ' e tıkladığınızdan emin olun.
  6. Önceki senaryoya benzer şekilde (herhangi bir rol eklenmeden önce), artık aynı hedef için bir erişim belirteci isteyebilirsiniz resource ve erişim belirteci, roles Istemci uygulaması için yetkilendirilmiş uygulama rollerini içeren bir talep içerir.
  7. Hedef App Service veya Işlev uygulama kodu içinde, artık beklenen rollerin belirteçte bulunduğunu doğrulayabilirsiniz (Bu, App Service kimlik doğrulaması/yetkilendirme tarafından gerçekleştirilmemektedir). Daha fazla bilgi için bkz. Kullanıcı taleplerine erişme.

Artık kendi kimliğini kullanarak App Service uygulamanıza erişebilen bir Daemon istemci uygulaması yapılandırdınız.

En iyi uygulamalar

Kimlik doğrulaması ayarlamak için kullandığınız yapılandırmadan bağımsız olarak, aşağıdaki en iyi yöntemler kiracınızı ve uygulamalarınızı daha güvenli tutacaktır:

  • Her bir App Service uygulamasına kendi izinlerini ve onayını verin.
  • Her App Service uygulamasını kendi kaydıyla yapılandırın.
  • Ayrı dağıtım yuvaları için ayrı uygulama kayıtları kullanarak ortamlar arasında izin paylaşımını önleyin. Yeni kodu sınarken, bu uygulama sorunların üretim uygulamasını etkilemesini önlemeye yardımcı olabilir.

Sonraki adımlar