Azure Web PubSub Hizmeti için yönetilen kimlikler
Bu makalede, Azure Web PubSub Hizmeti için yönetilen kimliğin nasıl oluşturulacağı ve nasıl kullanılacağı gösterilmektedir.
Önemli
Azure Web PubSub Hizmeti yalnızca bir yönetilen kimliği destekleyebilir. Bu, sistem tarafından atanan bir kimlik veya kullanıcı tarafından atanan bir kimlik ekleyebileceğiniz anlamına gelir.
Sistem tarafından atanan kimlik ekleme
Azure portalında yönetilen kimlik ayarlamak için önce bir Azure Web PubSub Hizmeti örneği oluşturacak ve ardından özelliği etkinleştireceksiniz.
Portalda normalde yaptığınız gibi bir Azure Web PubSub Hizmeti örneği oluşturun. Portalda bu dosyaya göz atın.
Kimlik'i seçin.
Sistem tarafından atanan sekmesinde Durum'aAçık olarak geçin. Kaydet'i seçin.
Kullanıcı tarafından atanan kimlik ekleme
Kullanıcı tarafından atanan bir kimlikle Azure Web PubSub Service örneği oluşturmak için kimliği oluşturmanız ve ardından kaynak tanımlayıcısını hizmetinize eklemeniz gerekir.
Bu yönergelere göre kullanıcı tarafından atanan bir yönetilen kimlik kaynağı oluşturun.
Portalda normalde yaptığınız gibi bir Azure Web PubSub Hizmeti örneği oluşturun. Portalda bu dosyaya göz atın.
Kimlik'i seçin.
Kullanıcı tarafından atanan sekmesinde Ekle'yi seçin.
Daha önce oluşturduğunuz kimliği arayın ve seçin. Add (Ekle) seçeneğini belirleyin.
İstemci olayları senaryolarında yönetilen kimlik kullanma
Azure Web PubSub Hizmeti tam olarak yönetilen bir hizmet olduğundan, belirteçleri el ile almak için yönetilen kimlik kullanamazsınız. Bunun yerine, Azure Web PubSub Hizmeti olayları olay işleyicisine gönderdiğinde, bir erişim belirteci almak için yönetilen kimliği kullanır. Hizmet daha sonra erişim belirtecini http isteğindeki Authorization üst bilgi olarak ayarlar.
Olay işleyicisi ayarlarında yönetilen kimlik kimlik doğrulamasını etkinleştirme
Sistem tarafından atanan bir kimlik veya kullanıcı tarafından atanan kimlik ekleyin.
Hub Ayarlar Yapılandırma'ya gidin ve bir olay işleyicisi yukarı akış ekleyin veya düzenleyin.
Kimlik Doğrulaması bölümünde Kimlik Doğrulamasını Kullan'ı seçin ve Verilen belirteç hedef kitlesini belirtin seçeneğini işaretleyin. Hedef kitle, olay işleyicinizde doğrulamanın bir parçası olarak kullanılabilecek, elde edilen erişim belirtecinde talep haline gelir
aud. Aşağıdakilerden birini seçebilirsiniz:- Mevcut Microsoft Entra uygulamalarından seçim yapın. Seçtiğiniz uygulamanın kimliği kullanılır.
- Hizmet sorumlusunun Uygulama Kimliği URI'si.
Önemli
Boş kaynağın kullanılması, bir belirteç hedeflerini Microsoft Graph'a harekete geçirin. Bugün olduğu gibi, Microsoft Graph belirteç şifrelemesini etkinleştirir, bu nedenle uygulamanın Microsoft Graph dışında bir belirtecin kimliğini doğrulaması için kullanılamaz. Yaygın uygulamada her zaman yukarı akış hedefinizi temsil eden bir hizmet sorumlusu oluşturmanız gerekir. Ayrıca, oluşturduğunuz hizmet sorumlusunun Uygulama Kimliği veya Uygulama Kimliği URI'sini ayarlayın.
İşlev uygulamasında kimlik doğrulaması
Azure portalını kullanarak kod değişikliği yapmadan işlev uygulaması için erişim doğrulamasını kolayca ayarlayabilirsiniz:
Azure portalında işlev uygulamasına gidin.
Menüden Kimlik Doğrulaması'nı seçin.
Kimlik sağlayıcısı ekle'yi seçin.
Temel Bilgiler sekmesinde, Kimlik sağlayıcısı açılan listesinde Microsoft'u seçin.
İsteğin kimliği doğrulanmadığında gerçekleştirilen eylem bölümünde Microsoft Entra Id ile oturum aç'ı seçin.
Yeni kayıt oluşturma seçeneği varsayılan olarak seçilidir. Kaydın adını değiştirebilirsiniz. Microsoft Entra sağlayıcısını etkinleştirme hakkında daha fazla bilgi için bkz. App Service'inizi veya Azure İşlevleri uygulamanızı Microsoft Entra Id oturum açma özelliğini kullanacak şekilde yapılandırma.
Azure SignalR Hizmeti gidin ve sistem tarafından atanan kimlik veya kullanıcı tarafından atanan kimlik ekleme adımlarını izleyin.
Azure SignalR Hizmeti Yukarı akış ayarları'na gidin ve Ardından Yönetilen Kimliği Kullan'ı ve Mevcut Uygulamalardan Seçin'i seçin. Daha önce oluşturduğunuz uygulamayı seçin.
Bu ayarları yapılandırdıktan sonra işlev uygulaması üst bilgide erişim belirteci olmayan istekleri reddeder.
Erişim belirteçlerini doğrulama
WebApp veya Azure İşlevi kullanmıyorsanız belirteci de doğrulayabilirsiniz.
Üst bilgideki Authorization belirteç Microsoft kimlik platformu erişim belirtecidir.
Erişim belirteçlerini doğrulamak için uygulamanız hedef kitleyi ve imzalama belirteçlerini de doğrulamalıdır. Bunların OpenID bulma belgesindeki değerlerle doğrulanması gerekir. Örneğin, belgenin kiracıdan bağımsız sürümüne bakın.
Microsoft Entra ara yazılımının erişim belirteçlerini doğrulamaya yönelik yerleşik özellikleri vardır. İstediğiniz dilde bir örnek bulmak için örneklerimize göz atabilirsiniz.
Belirteç doğrulamanın nasıl işleneceğini gösteren kitaplıklar ve kod örnekleri sağlıyoruz. JSON Web Belirteci (JWT) doğrulaması için kullanılabilen birkaç açık kaynak iş ortağı kitaplığı da vardır. Neredeyse tüm platformlar ve diller için en az bir seçenek vardır. Microsoft Entra yetkilendirme kitaplıkları ve kod örnekleri hakkında daha fazla bilgi için bkz. kimlik doğrulama kitaplıklarını Microsoft kimlik platformu.
Özellikle, olay işleyicisi Azure İşlevi veya Web Apps'te barındırıyorsa, kolay bir yol Microsoft Entra oturum açma bilgilerini yapılandırmaktır.
Key Vault başvurusu için yönetilen kimlik kullanma
Web PubSub Hizmeti, yönetilen kimliği kullanarak gizli dizi almak için Key Vault'a erişebilir.
Azure Web PubSub Hizmeti için sistem tarafından atanan bir kimlik veya kullanıcı tarafından atanan kimlik ekleyin.
Key Vault'taki Erişim ilkelerinde yönetilen kimlik için gizli dizi okuma izni verin. Bkz. Azure portalını kullanarak Key Vault erişim ilkesi atama
Şu anda bu özellik aşağıdaki senaryolarda kullanılabilir:
- Olay işleyici url şablonu ayarında KeyVault'tan gizli dizileri almak için söz dizimini
{@Microsoft.KeyVault(SecretUri=<secret-identity>)}kullanın.