Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как настроить службу приложений Azure или Функции Azure для использования пользовательского поставщика проверки подлинности, который соответствует спецификации OpenID Connect (OIDC). OIDC — это отраслевой стандарт, используемый многими поставщиками удостоверений. You don't need to understand the details of the specification for your app to use an OIDC identity provider.
Вы можете настроить приложение так, чтобы оно использовало один или несколько поставщиков OIDC. Each provider must have a unique alphanumeric name in the configuration. Only one provider can serve as the default redirect target.
Register your application with the identity provider
Your provider requires you to register the details of your application with it. Одним из этих шагов является указание URI перенаправления, имеющего форму <app-url>/.auth/login/<provider-name>/callback. Каждый поставщик удостоверений должен предоставить дополнительные инструкции по выполнению шагов. Значение <provider-name> ссылается на понятное имя, которое вы предоставляете имени поставщика OpenID в Azure.
Примечание.
Some providers might require extra steps for their configuration and for using the values that they provide. Например, Apple предоставляет закрытый ключ, который не используется в качестве секрета клиента OIDC. You use it to create a JSON Web Token (JWT). You use the web token as the secret that you provide in your app configuration. For more information, see Creating a client secret.
Необходимо собрать идентификатор клиента и секрет клиента для приложения. Секрет клиента — это важные учетные данные безопасности. Don't share this secret with anyone or distribute it in a client application.
You also need the OIDC metadata for the provider. Эти метаданные часто предоставляются в документе метаданных конфигурации, который представляет собой URL-адрес издателя поставщика с добавлением суффикса /.well-known/openid-configuration. Get this configuration URL.
If you can't use a configuration metadata document, get the following values separately:
- URL-адрес издателя (иногда отображаемый как
issuer) -
Конечная точка авторизации OAuth 2.0 (иногда показана как
authorization_endpoint) -
Конечная точка маркера OAuth 2.0 (иногда показана как
token_endpoint) - URL-адрес документа набора веб-ключей JSON OAuth 2.0 (иногда показано как
jwks_uri)
Добавление сведений о поставщике в приложение
To add provider information for your OpenID Connect provider, follow these steps.
Войдите на портал Azure и перейдите в приложение.
On the left menu, select Settings>Authentication. Then select Add identity provider.
For Identity provider, select OpenID Connect.
Для имени поставщика OpenID укажите уникальное буквенно-цифровое имя, выбранное ранее.
Если у вас есть URL-адрес документа метаданных от поставщика удостоверений, введите его в поле URL-адрес метаданных.
Otherwise, select Provide endpoints separately. Put each URL from the identity provider in the appropriate field.
Provide the values that you collected earlier for Client ID and Client secret.
Укажите название настройки приложения для вашего клиентского секрета. Секрет клиента хранится в качестве параметра приложения, чтобы обеспечить безопасное хранение секретов. If you want to manage the secret in Azure Key vault, update that setting later to use Azure Key Vault references.
Нажмите кнопку "Добавить ", чтобы завершить настройку поставщика удостоверений.
Примечание.
The OpenID provider name can't contain a hyphen (-) because an app setting is created based on this name. The app setting doesn't support hyphens. Вместо этого используйте символ подчеркивания (_).
Azure требует области openid, profile и email. Make sure that you configure your app registration in your ID provider with at least these scopes.