Delen via

JavaScript-apps verifiëren bij Azure-services tijdens lokale ontwikkeling met behulp van brokered-verificatie

Brokered-authenticatie verzamelt gebruikersreferenties met behulp van de systeemauthenticatiebroker om een app te authenticeren. Een systeemverificatiebroker is een app die wordt uitgevoerd op de computer van een gebruiker waarmee de verificatiehanddruk en tokenonderhoud voor alle verbonden accounts worden beheerd.

Brokered-verificatie biedt de volgende voordelen:

  • Hiermee schakelt u Eenmalige Sign-On (SSO) in: Hiermee kunnen apps vereenvoudigen hoe gebruikers zich verifiëren met Microsoft Entra ID en worden vernieuwingstokens van Microsoft Entra ID beschermd tegen exfiltratie en misbruik.
  • Verbeterde beveiliging: Veel beveiligingsverbeteringen worden geleverd met de broker, zonder dat u de app-logica hoeft bij te werken.
  • Verbeterde functieondersteuning: Met behulp van de broker hebben ontwikkelaars toegang tot uitgebreide besturingssysteem- en servicemogelijkheden.
  • Systeemintegratie: Toepassingen die gebruikmaken van de broker plug-and-play met de ingebouwde accountkiezer, zodat de gebruiker snel een bestaand account kan kiezen in plaats van dezelfde referenties telkens opnieuw in te voeren.
  • Beveiliging van tokens: Zorgt ervoor dat de vernieuwingstokens apparaatgebonden zijn en apps in staat stelt om apparaatgebonden toegangstokens te verkrijgen. Zie Tokenbeveiliging.

Windows biedt een verificatiebroker met de naam Web Account Manager (WAM). MET WAM kunnen id-providers zoals Microsoft Entra ID systeemeigen worden aangesloten op het besturingssysteem en veilige aanmeldingsservices bieden aan apps. Met brokered-verificatie kan de app worden ingeschakeld voor alle bewerkingen die zijn toegestaan door de interactieve aanmeldingsreferenties.

Persoonlijke Microsoft-accounts en werk- of schoolaccounts worden ondersteund. In ondersteunde Windows-versies wordt de standaardgebruikersinterface op basis van een browser vervangen door een soepelere verificatie-ervaring, vergelijkbaar met ingebouwde Windows-apps.

Linux gebruikt eenmalige aanmelding van Microsoft voor Linux als verificatiebroker.

De app configureren voor brokered authentication

Voer de volgende stappen uit om brokered verificatie in te schakelen in uw toepassing:

  1. Navigeer in Azure Portal naar Microsoft Entra ID en selecteer App-registraties in het menu aan de linkerkant.

  2. Selecteer de registratie voor uw app en selecteer vervolgens Verificatie.

  3. Voeg de juiste omleidings-URI toe aan uw app-registratie via een platformconfiguratie:

    1. Selecteer onder Platformconfiguratiesde optie + Een platform toevoegen.

    2. Selecteer onder Platformen configureren de tegel voor uw toepassingstype (platform) om de instellingen te configureren, zoals mobiele en bureaubladtoepassingen.

    3. Voer in aangepaste omleidings-URI's de volgende omleidings-URI voor uw platform in:

      Platform Doorverwijs-URI
      Windows 10+ of WSL ms-appx-web://Microsoft.AAD.BrokerPlugin/{your_client_id}
      macOS msauth.com.msauth.unsignedapp://auth voor niet-ondertekende apps
      msauth.{bundle_id}://auth voor ondertekende apps
      Linux https://login.microsoftonline.com/common/oauth2/nativeclient

      Vervang {your_client_id} of {bundle_id} door de toepassings-id (client) in het deelvenster Overzicht van de app-registratie.

    4. Selecteer Configureren.

    Zie Een omleidings-URI toevoegen aan een app-registratie voor meer informatie.

  4. Selecteer in het deelvenster Verificatie onder Geavanceerde instellingenJa voor openbare clientstromen toestaan.

  5. Selecteer Opslaan om de wijzigingen toe te passen.

  6. Als u de toepassing wilt autoriseren voor specifieke resources, gaat u naar de betreffende resource, selecteert u API-machtigingenen schakelt u Microsoft Graph- en andere resources in die u wilt openen.

    Belangrijk

    Je moet ook de beheerder van je huuraccount zijn om toestemming te verlenen aan je applicatie bij je eerste aanmelding.

Rollen toewijzen

Als u uw app-code wilt uitvoeren met brokered verificatie, verleent u uw gebruikersaccountmachtigingen met behulp van op rollen gebaseerd toegangsbeheer (RBAC) van Azure. Wijs een geschikte rol toe aan uw gebruikersaccount voor de relevante Azure-service. Voorbeeld:

  • Azure Blob Storage: wijs de rol Inzender voor opslagaccountgegevens toe.
  • Azure Key Vault: Wijs de rol Key Vault Secrets Officer toe.

Als een app is opgegeven, moeten API-machtigingen zijn ingesteld voor user_impersonation Azure Storage-toegang (stap 6 in de vorige sectie). Met deze API-machtiging kan de app namens de aangemelde gebruiker toegang krijgen tot Azure Storage nadat toestemming is verleend tijdens het aanmelden.

De code implementeren

De Azure Identity-bibliotheek biedt ondersteuning voor brokered-verificatie met interactiveBrowserCredential. Als u bijvoorbeeld wilt gebruiken InteractiveBrowserCredential in een Node.js-console-app voor verificatie bij Azure Key Vault met SecretClient, voert u de volgende stappen uit:

  1. Installeer de pakketten @azure/identity en @azure/identity-broker :

    npm install @azure/identity @azure/identity-broker

  2. Maak een exemplaar van InteractiveBrowserCredential met brokeropties en registreer de native broker-invoegtoepassing:

    import { useIdentityPlugin, InteractiveBrowserCredential } from "@azure/identity";
import { nativeBrokerPlugin } from "@azure/identity-broker";

// Register the native broker plugin for brokered authentication
useIdentityPlugin(nativeBrokerPlugin);

// Use InteractiveBrowserCredential with broker for interactive or silent authentication

// On Windows: Uses Windows Authentication Manager (WAM) - you'll be prompted to sign in
// On macOS: Opens a browser window for authentication, since the broker flow isn't currently supported.
// On Linux: Uses Microsoft Single Sign-on (SSO) for Linux.

const credential = new InteractiveBrowserCredential({
    brokerOptions: {
        enabled: true,
        useDefaultBrokerAccount: true,
        // For Node.js console apps, we need to provide an empty buffer for parentWindowHandle
        parentWindowHandle: new Uint8Array(0),
    },
});

Aanbeveling

Bekijk de volledige voorbeeld-app-code in de Azure SDK voor JavaScript GitHub-opslagplaats.

In het voorgaande voorbeeld wordt de eigenschap useDefaultBrokerAccount ingesteld op true, die zich aanmeldt voor een stille, brokered-verificatiestroom met het standaardsysteemaccount. Op deze manier hoeft de gebruiker niet herhaaldelijk hetzelfde account te selecteren. Als stille, brokered verificatie mislukt of useDefaultBrokerAccount is ingesteld falseop , InteractiveBrowserCredential valt terug op interactieve, brokered verificatie.

In de volgende schermopname ziet u de alternatieve interactieve, brokered authentication-ervaring:

Een schermopname van de aanmeldingservaring van Windows wanneer u een instantie van InteractiveBrowserCredential met broker-enabled gebruikt om een gebruiker te verifiëren.

In de volgende video ziet u de alternatieve interactieve, brokered verificatie-ervaring:

Een gif-animatie die de aanmeldingservaring voor Linux laat zien wanneer u een instantie van InteractiveBrowserCredential met broker-enabled gebruikt om een gebruiker te verifiëren.

Verwante inhoud

  • Last updated on