Поделиться через


Настройка приложения Служба приложений или Функции Azure для входа с помощью поставщика OpenID Connect

В этой статье содержатся сведения о том, как настроить Службу приложений Azure или Функции Azure так, чтобы они использовали пользовательский поставщик проверки подлинности, который соответствует спецификации OpenID Connect. OpenID Connect (OIDC) — это промышленный стандарт, используемый многими поставщиками удостоверений (IDP). Для настройки приложения таким образом, чтобы оно использовало соответствующий IDP, понимать особенности спецификации не обязательно.

Вы можете настроить приложение так, чтобы оно использовало один или несколько поставщиков OIDC. Каждому из них нужно присвоить уникальное буквенно-цифровое имя в конфигурации. Кроме того, целевым объектом перенаправления по умолчанию может быть только один из таких поставщиков.

Регистрация приложения в поставщике удостоверений

Поставщик потребует зарегистрировать сведения о приложении. На одном из этапов потребуется указать универсальный код ресурса (URI) перенаправления. Этот код URI перенаправления будет иметь вид <app-url>/.auth/login/<provider-name>/callback. Каждый поставщик удостоверений должен предоставить дополнительные инструкции по выполнению этих действий. <provider-name> будет ссылаться на понятное имя поставщика OpenID в Azure.

Примечание.

Для настройки некоторых поставщиков, а также указания того, как использовать предоставляемые ими значения, вам, возможно, придется выполнить дополнительные действия. Например, Apple предоставляет закрытый ключ, который не используется в качестве секрета клиента OIDC, и вместо этого его необходимо использовать для создания JWT, который рассматривается как секрет, предоставляемый в конфигурации приложения (см. раздел "Создание секрета клиента" в документации Apple).

Вам понадобится получить идентификатор клиента и секрет клиента для приложения.

Внимание

Секрет клиента — это важные учетные данные безопасности. Не делитесь этим секретом с кем-либо или распространяйте его в клиентском приложении.

Кроме того, вам понадобятся метаданные OpenID Connect для поставщика. Метаданные можно найти в документе метаданных конфигурации, который представляет собой URL-адрес поставщика с суффиксом /.well-known/openid-configuration. Получите этот URL-адрес конфигурации.

Если вы не можете использовать документ метаданных конфигурации, необходимо отдельно собрать следующие значения:

Добавление сведений о поставщике в приложение

  1. Войдите на портал Azure и перейдите к своему приложению.
  2. В меню слева выберите пункт Проверка подлинности. Выберите Добавить поставщик удостоверений.
  3. Выберите OpenID Connect в раскрывающемся списке поставщиков удостоверений.
  4. Укажите уникальное буквенно-цифровое имя, выбранное ранее в качестве имени поставщика OpenID Connect.
  5. Если у вас есть URL-адрес документа метаданных от поставщика удостоверений, укажите это значение в поле URL-адрес метаданных. В противном случае выберите параметр Укажите конечные точки отдельно и добавьте все URL-адреса, полученные от поставщика удостоверений, в соответствующем поле.
  6. Укажите ранее полученные идентификатор клиента и секрет клиента в соответствующих полях.
  7. Укажите имя параметра приложения для секрета клиента. Секрет клиента будет храниться в качестве параметра приложения в целях безопасности. Впоследствии этот параметр можно обновить, чтобы использовать ссылки Key Vault, если вы хотите управлять секретом в Azure Key Vault.
  8. Нажмите кнопку Добавить, чтобы завершить настройку поставщика удостоверений.

Примечание.

Имя поставщика OpenID не может содержать такие символы, как "-", так как приложениеetting будет создано на основе этого, и оно не поддерживает его. Вместо этого используйте "_".

Примечание.

Для Azure требуются области openid, profile и email. Убедитесь, что вы настроили регистрацию приложения в поставщике идентификаторов по крайней мере с этими областями.

Дальнейшие действия