Udostępnij przez

Szybki start: Dodawanie uwierzytelniania aplikacji do aplikacji internetowej działającej na usłudze Azure App Service

Dowiedz się, jak włączyć uwierzytelnianie dla aplikacji internetowej działającej w usłudze aplikacja systemu Azure i ograniczyć dostęp do użytkowników w organizacji.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Konfigurowanie uwierzytelniania dla aplikacji internetowej.
  • Ogranicz dostęp do aplikacji internetowej użytkownikom w organizacji przy użyciu usługi Microsoft Entra jako dostawcy tożsamości.

Automatyczne uwierzytelnianie udostępniane przez usługę App Service

Usługa App Service zapewnia wbudowaną obsługę uwierzytelniania i autoryzacji, dzięki czemu można logować użytkowników bez kodu w aplikacji internetowej. Użycie opcjonalnego modułu uwierzytelniania/autoryzacji usługi App Service upraszcza uwierzytelnianie i autoryzację dla aplikacji. Kiedy jesteś gotowy na niestandardowe uwierzytelnianie i autoryzację, rozwijasz ten system architektury.

Uwierzytelnianie usługi App Service zapewnia:

  • Łatwe włączanie i konfigurowanie za pomocą witryny Azure Portal i ustawień aplikacji.
  • Nie są wymagane żadne zestawy SDK, określone języki ani zmiany kodu aplikacji.
  • Obsługiwanych jest kilka dostawców tożsamości:
    • Microsoft Entra
    • Konto Microsoft
    • Facebook
    • Wyszukiwarka Google
    • X

Po włączeniu modułu uwierzytelniania/autoryzacji każde przychodzące żądanie HTTP przechodzi przez nie przed obsługą kodu aplikacji. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie i autoryzacja w usłudze aplikacja systemu Azure.

1. Wymagania wstępne

Jeśli nie masz jeszcze konta platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

2. Tworzenie i publikowanie aplikacji internetowej w usłudze App Service

Na potrzeby tego samouczka potrzebna jest aplikacja internetowa wdrożona w usłudze App Service. Możesz użyć istniejącej aplikacji internetowej albo skorzystać z jednego z szybkich startów, aby utworzyć i opublikować nową aplikację internetową w usłudze App Service.

Niezależnie od tego, czy używasz istniejącej aplikacji internetowej, czy tworzysz nową, zanotuj następujące kwestie:

  • Nazwa aplikacji internetowej.
  • Grupa zasobów, do której jest wdrożona aplikacja internetowa.

Nazwy te będą potrzebne przez cały ten samouczek.

3. Konfigurowanie uwierzytelniania i autoryzacji

Teraz, gdy masz aplikację internetową działającą w usłudze App Service, włącz uwierzytelnianie i autoryzację. Używasz Microsoft Entra jako dostawcy tożsamości. Aby uzyskać więcej informacji, zobacz Configure Microsoft Entra authentication for your App Service application (Konfigurowanie uwierzytelniania entra firmy Microsoft dla aplikacji usługi App Service).

  1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie.

  2. W Grupy zasobów wyszukaj i wybierz swoją grupę zasobów. W obszarze Przegląd wybierz stronę zarządzania aplikacją.

    Zrzut ekranu przedstawiający wybieranie strony zarządzania aplikacją.

  3. W menu po lewej stronie aplikacji wybierz pozycję Uwierzytelnianie, a następnie wybierz pozycję Dodaj dostawcę tożsamości.

  4. Na stronie Dodawanie dostawcy tożsamości wybierz Microsoft jako dostawcę tożsamości, aby zalogować się do tożsamości Microsoft i Microsoft Entra.

  5. W obszarze Typ dzierżawcy wybierz Konfigurację zatrudnienia (bieżący dzierżawca) dla pracowników i gości biznesowych.

  6. W polu >aplikacji wybierz pozycję Utwórz nową rejestrację aplikacji, aby utworzyć nową rejestrację aplikacji w usłudze Microsoft Entra.

  7. Wprowadź wyświetlaną nazwę dla swojej aplikacji. Użytkownicy aplikacji mogą zobaczyć nazwę wyświetlaną podczas korzystania z aplikacji, na przykład podczas logowania.

  8. W obszarze Wygaśnięcie tajemnicy klienta wybierz opcję Zalecane: 180 dni.

  9. Dla Rejestracja aplikacji>Obsługiwane typy kont wybierz Obecny dzierżawca - pojedynczy dzierżawca, aby tylko użytkownicy w Twojej organizacji mogli logować się do aplikacji internetowej.

  10. W sekcji Dodatkowe kontrole wybierz pozycję:

    • Zezwalaj na żądania tylko z tej aplikacji dla wymagań aplikacji klienckiej
    • Zezwalaj na żądania z dowolnej tożsamości dla wymagań dotyczących tożsamości
    • Zezwalaj na żądania tylko od dzierżawcy wystawcy w ramach wymagań dzierżawy

  11. W sekcji Ustawienia uwierzytelniania usługi App Service ustaw następujące ustawienia:

    • Wymagaj uwierzytelniania dla Uwierzytelnianie
    • Znaleziono przekierowanie HTTP 302: zalecane dla stron internetowych dla niezautoryzowanych żądań
    • Pudełko magazynu tokenów

  12. W dolnej części strony Dodawania dostawcy tożsamości wybierz pozycję Dodaj, aby włączyć uwierzytelnianie dla Twojej aplikacji internetowej.

    Zrzut ekranu przedstawiający konfigurowanie uwierzytelniania.

    Masz teraz aplikację zabezpieczoną za pomocą uwierzytelniania i autoryzacji usługi App Service.

    Uwaga

    Aby zezwolić na konta z innych dzierżaw, zmień wartość "Adres URL wystawcy" na "https://login.microsoftonline.com/common/v2.0", edytując dostawcę tożsamości z panelu "Uwierzytelnianie".

4. Sprawdź ograniczony dostęp do aplikacji internetowej

Po włączeniu modułu uwierzytelniania/autoryzacji usługi App Service w poprzednim punkcie rejestracja aplikacji została utworzona w Twojej dzierżawie pracowniczej lub dzierżawie zewnętrznej. Rejestracja aplikacji ma nazwę wyświetlaną utworzoną w poprzednim kroku.

  1. Aby sprawdzić ustawienia, zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.

  2. Jeśli wybrano konfigurację zewnętrzną, użyj ikony Ustawienia w górnym menu, aby przełączyć się do zewnętrznej dzierżawy z aplikacją internetową z menu Katalogi + Subskrypcje.

  3. Przejdź do Identity>Applications>Rejestracje aplikacji i wybierz Applications>Rejestracje aplikacji z menu.

  4. Wybierz utworzoną rejestrację aplikacji.

  5. W przeglądzie sprawdź, czy Obsługiwane typy kont są ustawione na Tylko moja organizacja.

  6. Aby sprawdzić, czy dostęp do aplikacji jest ograniczony do użytkowników w organizacji, przejdź do obszaru Przegląd aplikacji internetowej i wybierz link Domyślna domena.

    Zrzut ekranu przedstawiający weryfikowanie dostępu.

  7. Powinno nastąpić przekierowanie do zabezpieczonej strony logowania, sprawdzając, czy nieuwierzytelnieni użytkownicy nie mają dostępu do witryny.

  8. Zaloguj się jako użytkownik w organizacji, aby uzyskać dostęp do witryny.

  9. Aby sprawdzić, czy użytkownicy spoza organizacji nie mają dostępu, otwórz inne okno przeglądarki incognito lub prywatne i spróbuj zalogować się przy użyciu osobistego konta Microsoft. Logowanie powinno zakończyć się niepowodzeniem lub zostać odrzucone.

5. Czyszczenie zasobów

Jeśli wykonałeś wszystkie kroki w tym samouczku wieloczęściowym, utworzyłeś usługę App Service, plan hostingu usługi App Service i konto magazynu w grupie zasobów. Utworzono również rejestrację aplikacji w identyfikatorze Entra firmy Microsoft. Jeśli wybrałeś konfigurację zewnętrzną, mogłeś utworzyć nowego zewnętrznego klienta. Gdy te zasoby i rejestracja aplikacji nie będą już potrzebne, usuń je, aby nie były naliczane opłaty.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Usuń zasoby platformy Azure utworzone podczas wykonywania kroków samouczka.

Usuwanie grupy zasobów

W portalu Azure wybierz pozycję Grupy zasobów z menu portalu i wybierz grupę zasobów zawierającą usługę App Service i plan usługi App Service.

Wybierz pozycję Usuń grupę zasobów, aby usunąć grupę zasobów i wszystkie zasoby.

Zrzut ekranu przedstawiający usuwanie grupy zasobów.

Uruchomienie tego polecenia może potrwać kilka minut.

Usuwanie rejestracji aplikacji

W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Aplikacje> Rejestracje aplikacji. Następnie wybierz utworzoną aplikację. Zrzut ekranu przedstawiający wybieranie rejestracji aplikacji.

W widoku rejestracji aplikacji wybierz pozycję Usuń. Zrzut ekranu przedstawiający usuwanie rejestracji aplikacji.

Usuń dzierżawę zewnętrzną

Jeśli utworzyłeś nową dzierżawę zewnętrzną, możesz usunąć. W centrum administracyjnym Microsoft Entra przejdź do Tożsamość>Przegląd>Zarządzanie dzierżawcami.

Wybierz dzierżawcę, którego chcesz usunąć, a następnie wybierz pozycję Usuń.

Może być konieczne wykonanie wymaganych akcji przed usunięciem dzierżawy. Na przykład może być konieczne usunięcie wszystkich przepływów użytkownika i rejestracji aplikacji w ramach dzierżawy.

Jeśli jesteś gotowy do usunięcia dzierżawy, wybierz Usuń.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

  • Konfigurowanie uwierzytelniania dla aplikacji internetowej.
  • Ogranicz dostęp do aplikacji internetowej do użytkowników w organizacji.

Usługa App Service uzyskuje dostęp do magazynu

  • Last updated on