Kimlik doğrulaması ve Azure Static Web Apps

Makale
10/14/2021
Okumak için 6 dakika

Azure Static Web Apps kolaylaştırılmış bir kimlik doğrulama deneyimi sağlar. Varsayılan olarak, önceden yapılandırılmış bir dizi sağlayıcıya veya özel sağlayıcı kaydetme seçeneğine erişebilirsiniz.

Herhangi bir kullanıcı etkin bir sağlayıcı ile kimlik doğrulamasına sahip olabilir.
Oturum açtıktan sonra kullanıcılar varsayılan olarak ve anonymous authenticated rollerine aittir.
Yetkili kullanıcılar, staticwebapp.config.jsondosyasında tanımlanan kurallara göre kısıtlanmış yollara erişim elde ediyor.
Kullanıcılara yerleşik davet sistemi kullanılarak özel roller atanır.
Bir API işlevi tarafından oturum açmada kullanıcılara program aracılığıyla özel roller atanabilir.
Tüm kimlik doğrulama sağlayıcıları varsayılan olarak etkindir.
- Bir kimlik doğrulama sağlayıcısını kısıtlamak için, özel bir yol kuralıyla erişimi engelin.
Önceden yapılandırılmış sağlayıcılar şunlardır:
- Azure Active Directory
- GitHub
- Twitter

Kimlik doğrulaması ve yetkilendirme konuları, uygulama yapılandırma kılavuzunda ayrıntılı olarak yer alan yönlendirme kavramlarıyla önemli ölçüde örtüşmektedir.

Roller

Statik bir web uygulamasına erişen her kullanıcı bir veya daha fazla role aittir. Kullanıcıların ait olduğu iki yerleşik rol vardır:

anonim: Tüm kullanıcılar otomatik olarak anonim role aittir.
kimliği doğrulanmış: Oturum açmış olan tüm kullanıcılar kimliği doğrulanmış role aittir.

Yerleşik rollerin ötesinde, kullanıcılara özel roller atayabilirsiniz ve staticwebapp.config.json dosyasında bu rollere başvurabilirsiniz.

Role kullanıcı ekleme

Bir role kullanıcı eklemek için, kullanıcıları belirli rollerle ilişkilendirmenize olanak sağlayan davetler oluşturabilirsiniz. Roller staticwebapp.config.json dosyasında tanımlanır ve korunur.

Davet oluşturma

Davetler tek tek yetkilendirme sağlayıcılarına özgü olduğu için, hangi sağlayıcıları desteklemesi gerektiğini seçerek uygulamanıza yönelik ihtiyaçları göz önünde bulundurabilirsiniz. Bazı sağlayıcılar kullanıcının e-posta adresini, diğerleri ise yalnızca sitenin kullanıcı adını sağlar.

Yetkilendirme sağlayıcısı	Bir kullanıcının
Azure Active Directory	e-posta adresi
GitHub	username
Twitter	username

içinde bir Static Web Apps kaynağına Azure portal.
Ayarlar altında Rol Yönetimi'ne tıklayın.
Davet et düğmesine tıklayın.
Seçenekler listesinden bir Yetkilendirme sağlayıcısı seçin.
Davet ayrıntıları kutusuna alıcının kullanıcı adını veya e-posta adresini ekleyin.
- Kullanıcı GitHub Twitter için kullanıcı adını girersiniz. Diğer tüm alıcılar için alıcının e-posta adresini girin.
Etki alanı açılan listesinden statik sitenizin etki alanını seçin.
- Seçerek etki alanı, davette görünen etki alanıdır. Siteniz ile ilişkilendirilmiş bir özel etki alanınız varsa, büyük olasılıkla özel etki alanını seçmek istiyorsanız.
Rol kutusuna rol adlarının virgülle ayrılmış bir listesini ekleyin.
Davetin geçerli kalmasını istediğiniz en fazla saat sayısını girin.
- Maksimum olası sınır 168 saattir ve bu da 7 gündür.
Oluştur düğmesine tıklayın.
Davet et bağlantı kutusundan bağlantıyı kopyalayın.
Davet bağlantısını uygulamanıza erişim izni vermekte olduğunu kişiye e-posta ile gönderin.

Kullanıcı davette bağlantıya tıkladığında ilgili hesabıyla oturum açması istenir. Oturum başarıyla oturum açtıktan sonra, kullanıcı seçilen rollerle ilişkilendirilr.

Dikkat

Yol kurallarınız, seçtiğiniz kimlik doğrulama sağlayıcılarıyla çakışmaz. Bir sağlayıcının yönlendirme kuralıyla engellenmesi, kullanıcıların davetleri kabul etmelerini önleyecektir.

Rol atamalarını güncelleştirme

içinde bir Static Web Apps kaynağına Azure portal.
Ayarlar altında Rol Yönetimi'ne tıklayın.
Listede kullanıcıya tıklayın.
Rol kutusunda rol listesini düzenleyin.
Güncelleştir düğmesine tıklayın.

Kullanıcı kaldırma

içinde bir Static Web Apps kaynağına Azure portal.
Ayarlar altında Rol Yönetimi'ne tıklayın.
Listede kullanıcı bulun.
Kullanıcının satırdaki onay kutusunu işaretleyin.
Sil düğmesine tıklayın.

Bir kullanıcı kaldırırken aşağıdaki öğeleri unutmayın:

Kullanıcı kaldırılarak izinleri geçersiz kılınıyor.
Dünya çapında yayılma birkaç dakika sürebilir.
Kullanıcı uygulamaya geri eklenirse, userId değişir.

Yerleşik davet sistemini kullanmak yerine, oturum açmaları zaman kullanıcılara program aracılığıyla roller atamak için sunucusuz bir işlev kullanabilirsiniz.

Bir işlevde özel roller atamak için, bir kullanıcı kimlik sağlayıcısıyla başarıyla kimlik doğrulaması her kullandığında otomatik olarak çağrılır bir API işlevi tanımlayabilirsiniz. İşlev, sağlayıcıdan kullanıcının bilgilerine geçirilebilir. Kullanıcıya atanan özel rollerin listesini iade etmek gerekir.

Bu işlevin örnek kullanımları şunlardır:

Bir kullanıcının hangi rollere atanacaklarını belirlemek için veritabanını sorgulama
Kullanıcının Active Directory Graph göre rollerini belirlemek için Microsoft Graph API'sini çağırma
Kimlik sağlayıcısı tarafından döndürülen taleplere göre kullanıcının rollerini belirleme

Not

Bir işlev aracılığıyla rol atama özelliği yalnızca özel kimlik doğrulaması yapılandırıldığında kullanılabilir.

Bu özellik etkinleştirildiğinde, yerleşik davet sistemi aracılığıyla atanan roller yoksayılır.

Rol atamak için işlev yapılandırma

Bir Static Web Apps api işlevini rol atama işlevi olarak kullanmak üzere yapılandırmak için, uygulama yapılandırma rolesSource dosyasının bölümüne bir özellik auth ekleyin. özelliğinin rolesSource değeri API işlevinin yoludur.

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

Not

Yapılandırıldığında, rol atama işlevine artık dış HTTP istekleri tarafından erişilemez.

Rol atamak için işlev oluşturma

Uygulama rolesSource yapılandırmasında özelliğini tanımdikten sonra, belirttiğiniz yola statik web uygulamanıza bir API işlevi ekleyin. Yönetilen işlev uygulamasını veya kendi işlev getir uygulamasını kullanabilirsiniz.

Bir kullanıcı kimlik sağlayıcısıyla başarıyla kimlik doğrulaması her kullandığında belirtilen işlev çağrılır. İşleve, istek gövdesinde sağlayıcıdan kullanıcı bilgilerini içeren bir JSON nesnesi geçirilebilir. Bazı kimlik sağlayıcıları için kullanıcı bilgileri, işlevin kullanıcının kimliğini kullanarak API çağrıları yapmak accessToken için kullanabileceği bir de içerir.

Bu, örnek bir yük Azure Active Directory:

{
  "identityProvider": "aad",
  "userId": "72137ad3-ae00-42b5-8d54-aacb38576d76",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "72137ad3-ae00-42b5-8d54-aacb38576d76"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

İşlev, kullanıcıya atanan rolleri belirlemek için kullanıcının bilgilerini kullanabilir. Kullanıcıya atanan özel rol adlarının listesini içeren bir JSON gövdesine sahip bir HTTP 200 yanıtı dönüşletir.

Örneğin, ve rollerine kullanıcı atamak Reader için aşağıdaki yanıtı geri dönüş Contributor yapın:

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

Kullanıcıya başka roller atamak istemiyorsanız, boş bir roles dizi döndürün.

Daha fazla bilgi edinmek için bkz. öğretici: bir işlevle özel roller atama ve Microsoft Graph.

Kişisel tanımlama bilgilerini Kaldır

Bir uygulamaya son kullanıcı olarak izin verdiğinizde, uygulamanın, kimlik sağlayıcısına bağlı olarak e-posta adresinize veya Kullanıcı adınızla erişimi vardır. Bu bilgiler sağlandığında, uygulamanın sahibi kişisel olarak tanımlama bilgilerinin nasıl yönetileceğine karar verir.

Son kullanıcıların, bu bilgileri sistemlerinden iptal etmek için ayrı Web uygulamalarının yöneticileriyle iletişim kurabilmesi gerekir.

Azure statik Web Apps platformundan kişisel tanımlama bilgilerini kaldırmak ve platformun gelecekteki isteklerde bu bilgileri sağlamamasını engellemek için, URL 'YI kullanarak bir istek gönderebilirsiniz:

https://identity.azurestaticapps.net/.auth/purge/<AUTHENTICATION_PROVIDER_NAME>

Platformun bu bilgileri tek tek uygulamalara gelecek isteklerde sağlamamasını engellemek için aşağıdaki URL 'ye bir istek gönder:

https://<WEB_APP_DOMAIN_NAME>/.auth/purge/<AUTHENTICATION_PROVIDER_NAME>

Azure Active Directory kullanıyorsanız, aad yer tutucunun değeri olarak ' i kullanın <AUTHENTICATION_PROVIDER_NAME> .

Sistem klasörü

Azure statik Web Apps, /.auth yetkilendirmeyle Ilgili API 'lere erişim sağlamak için sistem klasörünü kullanır. Klasörü altındaki yolların herhangi birini /.auth doğrudan son kullanıcılara sunmak yerine, kolay URL 'ler oluşturmak için yönlendirme kuralları oluşturmayı düşünün.

Sağlayıcıya özgü rotayı bulmak için aşağıdaki tabloyu kullanın.

Yetkilendirme sağlayıcısı	Oturum açma yolu
Azure Active Directory	`/.auth/login/aad`
GitHub	`/.auth/login/github`
Twitter	`/.auth/login/twitter`

örneğin, GitHub oturum açmak için aşağıdaki kod parçacığına benzer bir bağlantı ekleyebilirsiniz:

<a href="/.auth/login/github">Login</a>

Birden fazla sağlayıcıyı desteklemeyi seçtiyseniz, Web sitenizde her biri için sağlayıcıya özgü bir bağlantı oluşturmanız gerekir.

Varsayılan bir sağlayıcıyı /login gibi kolay bir yola eşlemek için bir yol kuralı kullanabilirsiniz.

{
  "route": "/login",
  "redirect": "/.auth/login/github"
}

Bir kullanıcının oturum açtıktan sonra belirli bir sayfaya dönmesini istiyorsanız sorgu dizesi parametresinde tam nitelikli bir URL sağlayın post_login_redirect_uri .

Örneğin:

<a href="/.auth/login/github?post_login_redirect_uri=https://zealous-water.azurestaticapps.net/success">Login</a>

Oturumu Kapat

/.auth/logoutRota, kullanıcıları Web sitesinden dışarı kaydeder. Aşağıdaki örnekte gösterildiği gibi, kullanıcının oturum açmasını sağlamak için site gezintisine bir bağlantı ekleyebilirsiniz.

<a href="/.auth/logout">Log out</a>

/Logout gibi kolay bir yol eşlemek için bir yol kuralı kullanabilirsiniz.

{
  "route": "/logout",
  "redirect": "/.auth/logout"
}

Kapatma sonrası yeniden yönlendirme

Bir kullanıcının, oturum kapatıldıktan sonra belirli bir sayfaya dönmesini istiyorsanız post_logout_redirect_uri sorgu dizesi parametresinde BIR URL sağlayın.

Yetkilendirme sağlayıcısını engelle

Uygulamanızı bir yetkilendirme sağlayıcısı kullanarak kısıtlamak isteyebilirsiniz. Örneğin, uygulamanız yalnızca e-posta adreslerini açığa çıkaran sağlayıcılariçin standartlaştırmak isteyebilir.

Sağlayıcıyı engellemek için, engellenen sağlayıcıya özgü rotaya yönelik istekler için 404 döndürecek yol kuralları oluşturabilirsiniz. Örneğin, Twitter 'ı sağlayıcı olarak kısıtlamak için aşağıdaki yol kuralını ekleyin.

{
  "route": "/.auth/login/twitter",
  "statusCode": 404
}

Kısıtlamalar

Genel kısıtlamalar ve sınırlamalar için Kotalar makalesine bakın.

Sonraki adımlar

Kullanıcı kimlik doğrulaması ve yetkilendirme verilerine erişme

¹ bekleyen dış sertifika.