Настройка приложения в Службе приложений или службе "Функции Azure" для использования входа по учетной записи Майкрософт

В этом разделе показано, как настроить службу приложений Azure или функции Azure для использования идентификации Microsoft Entra, чтобы поддерживать вход с личными учетными записями Майкрософт.

Регистрация приложения с использованием учетной записи Майкрософт

1. Перейдите на страницу Регистрация приложений на портале Azure. Если потребуется, войдите в систему с учетной записью Майкрософт.

2. Выберите Новая регистрация и введите имя приложения.

3. В разделе "Поддерживаемые типы учетных записей" выберите учетные записи в любом каталоге организации (любой каталог Microsoft Entra — Multitenant) и личных учетных записей Майкрософт (например, Skype, Xbox)

4. В разделе URI перенаправления выберите Интернет и введите https://<app-domain-name>/.auth/login/aad/callback. Замените заполнитель <app-domain-name> доменным именем вашего приложения. Например, https://contoso.azurewebsites.net/.auth/login/aad/callback. Убедитесь, что в URL-адресе используется схема HTTPS.

5. Выберите Зарегистрировать.

6. Скопируйте значение в поле Идентификатор приложения (клиента). Оно понадобится вам позже.

7. На панели слева выберите Сертификаты и секреты>Новый секрет клиента. Введите описание, выберите срок действия и щелкните Добавить.

8. Скопируйте значение, которое отображается на странице Сертификаты и секреты. После того как вы покинете страницу, она не будет отображаться снова.

   Внимание

   Значение секрета клиента (пароля) является важным элементом безопасности. Не сообщайте пароль никому и не раскрывайте его в клиентском приложении.

Добавление данных учетной записи Майкрософт в приложение службы приложений

1. Найдите нужное приложение на портале Azure.

2. Последовательно выберите Параметры>Аутентификация или авторизация и установите для параметра Проверка подлинности Службы приложений значение Вкл.

3. В разделе "Поставщики проверки подлинности" выберите идентификатор Microsoft Entra. В разделе Дополнительно выберите Режим управления. Вставьте значения идентификатора приложения (клиента) и секрета клиента, полученные ранее. Укажите https://login.microsoftonline.com/9188040d-6c67-4c5b-b112-36a304b66dad/v2.0 в поле URL-адрес издателя.

4. Нажмите ОК.

   Служба приложений обеспечивает проверку подлинности, но не ограничивает авторизованный доступ к содержимому сайта и API. Авторизация пользователей должна быть включена в код приложения.

5. (Необязательно) Чтобы ограничить доступ к пользователям учетной записи Майкрософт, задайте действие, если запрос не прошел проверку подлинности для входа с помощью идентификатора Microsoft Entra. При установке этой функции приложению требуется выполнить проверку подлинности всех запросов. Он также перенаправляет все неавтоентизованные запросы на использование идентификатора Microsoft Entra для проверки подлинности. Обратите внимание, что проверка подлинности будет успешной только для личных учетных записей, так как для параметра URL-адрес поставщика вы указали адрес арендатора учетной записи Майкрософт.

   Внимание

   Таким образом, ограниченный доступ применяется ко всем вызовам приложения, что может быть нежелательно для приложений, у которых есть общедоступная домашняя страница (как во многих одностраничных приложениях). Для таких приложений, возможно, стоит установить параметр Разрешить анонимные запросы (нет действия), чтобы приложение самостоятельно обрабатывало проверку подлинности. Дополнительные сведения см. в разделе Поток проверки подлинности.

6. Выберите Сохранить.

Теперь вы можете использовать учетную запись Майкрософт для проверки подлинности в приложении.

Дальнейшие действия

• Проверка подлинности и авторизация в Службе приложений и Службе функций Azure
• Учебное пособие: проверка подлинности и авторизация пользователей от начала до конца в службе приложений Azure