Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met App Service-verificatie kunt u de toegang tot uw MCP-server (Model Context Protocol) beheren door MCP-clients te verplichten zich te verifiëren bij een id-provider. U kunt ervoor zorgen dat uw app voldoet aan de autorisatiespecificatie van de MCP-server door de instructies in dit artikel te volgen.
Belangrijk
McP-serverautorisatie definieert de toegang tot de server en biedt geen gedetailleerd beheer voor afzonderlijke MCP-hulpprogramma's of andere constructies.
Een id-provider configureren
Configureer App Service-verificatie met een id-provider. De registratie van de id-provider moet uniek zijn voor de MCP-server. Gebruik een bestaande registratie niet opnieuw vanuit een ander toepassingsonderdeel.
Wanneer u de registratie maakt, noteert u welke scopes zijn gedefinieerd in uw registratie of in de documentatie van de identiteitsprovider.
Beveiligde resourcemetagegevens configureren (preview)
Voor MCP-serverautorisatie is het vereist dat de serverhost beveiligde bronmetagegevens (PRM) bevat. Ondersteuning voor PRM met App Service-verificatie is momenteel in preview.
Als u PRM wilt configureren voor uw MCP-server, stelt u de WEBSITE_AUTH_PRM_DEFAULT_WITH_SCOPES toepassingsinstelling in op een door komma's gescheiden lijst met bereiken voor uw toepassing. De toepassingen die u nodig hebt, worden gedefinieerd als onderdeel van uw applicatie-registratie of gedocumenteerd door uw identiteitsprovider. Als u bijvoorbeeld de Microsoft Entra ID-provider hebt gebruikt en App Service de registratie voor u laat maken, is er een standaardbereik api://<client-id>/user_impersonation gemaakt. U zou WEBSITE_AUTH_PRM_DEFAULT_WITH_SCOPES op die waarde instellen.
Overwegingen voor MCP-clients
Als u gebruikers wilt aanmelden, moet de MCP-client worden geregistreerd bij de id-provider. Sommige providers ondersteunen Dynamic Client Registration (DCR), maar veel niet, waaronder Microsoft Entra-id. Wanneer DCR niet beschikbaar is, moet de client vooraf worden geconfigureerd met een client-id. Raadpleeg de documentatie voor uw client- of client-SDK om te begrijpen hoe u een client-id opgeeft.
Creatie van entra-id-toestemming
Als u Microsoft Entra ID gebruikt, kunt u bekende clienttoepassingen opgeven en deze markeren als vooraf geverifieerd voor toegang. preauthorisatie wordt aanbevolen indien mogelijk. Zonder verificatie vooraf moeten gebruikers of beheerders toestemming geven voor de MCP-serverregistratie en eventuele machtigingen die nodig zijn.
Voor gebruikersinstemming scenario's, betrekt het opstellen van toestemmingen de MCP-client die met behulp van interactieve aanmelding de toestemmingsprompt weergeeft. Sommige MCP-clients bieden mogelijk geen interactieve aanmeldingen. Als u bijvoorbeeld een MCP-hulpprogramma bouwt dat moet worden gebruikt door GitHub Copilot in Visual Studio Code, probeert de client de context van de aangemelde gebruiker te gebruiken en wordt er geen toestemmingsprompt weergegeven. In deze gevallen is het vooraf verifiëren van de clienttoepassing vereist om toestemmingsproblemen te voorkomen.
Voor ontwikkel-/testdoeleinden kunt u gebruikerstoestemming voor uzelf schrijven door u rechtstreeks in een browser aan te melden bij de toepassing. Naar <your-app-url>/.auth/login/aad navigeren start het aanmeldingsproces en vraagt om uw toestemming indien nodig. Vervolgens kunt u zich proberen aan te melden vanaf een andere client.
Overwegingen voor MCP-servers
App Service-verificatie valideert tokens die worden geleverd door MCP-clients en past eventuele geconfigureerde autorisatiebeleidsregels toe voordat ze reageren op de MCP-initialisatieaanvraag. Mogelijk moet u uw autorisatieregels voor het MCP-scenario bijwerken. Als u bijvoorbeeld de Microsoft Entra ID-provider hebt gebruikt en App Service de registratie voor u laat maken, staat een standaardbeleid alleen tokens toe die door de app zelf zijn verkregen. Daarom voegt u uw MCP-client toe aan de lijst met toegestane toepassingen in de verificatieconfiguratie. Zie Een ingebouwd autorisatiebeleid gebruiken voor meer informatie.
MCP-serverframeworks abstraheren vaak het transport, maar in sommige gevallen kunnen ze de onderliggende HTTP-context beschikbaar maken. Wanneer de HTTP-context beschikbaar is, hebt u toegang tot gebruikersclaims en andere verificatiegegevens die worden verstrekt door App Service-verificatie.
Waarschuwing
Het token dat wordt gebruikt voor MCP-serverautorisatie, is bedoeld om de toegang tot uw MCP-server weer te geven en niet voor een downstreamresource. Passthrough-scenario's waarbij de server het token doorstuurt, maakt beveiligingsproblemen, dus vermijd deze patronen. Als u toegang wilt krijgen tot een downstream resource, moet u een nieuw token verkrijgen via het namens-stroom mechanisme of een ander mechanisme voor expliciete delegatie.
Verwante inhoud
- Specificatie van modelcontextprotocolautorisatie
- Azure Functions Model Context Protocol-bindingen
- Een App Service-app integreren als een MCP-server (.NET)
- Een App Service-app integreren als een MCP-server (Java)
- Een App Service-app integreren als een MCP-server (Node.js)
- Een App Service-app integreren als een MCP-server (Python)