Поделиться через

Быстрый старт: Добавление аутентификации приложения в ваше веб-приложение, работающее на платформе Azure App Service

  • Статья

Примечание.

Начиная с 1 июня 2024 года только что созданные приложения службы приложений могут создать уникальное имя узла по умолчанию, использующее соглашение об именовании <app-name>-<random-hash>.<region>.azurewebsites.net. Например: myapp-ds27dh7271aah175.westus-01.azurewebsites.net. Существующие имена приложений остаются неизменными.

Дополнительные сведения см. в записи блога о создании веб-приложения с уникальным именем узла по умолчанию.

Узнайте, как включить проверку подлинности в веб-приложении, работающем в Службе приложений Azure, и ограничить доступ для пользователей в организации.

В этом руководстве описано следующее:

  • настроить проверку подлинности для веб-приложения;
  • Ограничьте доступ к веб-приложению только пользователям вашей организации, используя Microsoft Entra в качестве провайдера удостоверений.

Автоматическая проверка подлинности, предоставляемая Службой приложений

Служба приложений обеспечивает встроенную поддержку проверки подлинности и авторизации, поэтому для входа пользователей в систему не придется писать код в веб-приложении. Необязательный модуль проверки подлинности и авторизации Службы приложений упрощает проверку подлинности и авторизацию для вашего приложения. Когда вы будете готовы к пользовательской проверке подлинности и авторизации, вы используете эту архитектуру.

Преимущества проверки подлинности в службе приложений:

  • Легко включить и настроить с помощью портала Azure и параметров приложения.
  • Для реализации не требуются SDK, определенные языки или изменения в коде приложения.
  • Поддерживаются несколько поставщиков удостоверений:
    • Microsoft Entra
    • Учетная запись Майкрософт
    • Facebook
    • Google
    • X

Если включен модуль проверки подлинности или авторизации, каждый входящий HTTP-запрос проходит через этот модуль до обработки кодом приложения. Дополнительные сведения см. в статье Проверка подлинности и авторизация в Службе приложений Azure.

1. Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

2. Создание и публикация веб-приложения в Службе приложений

Для этого руководства вам потребуется веб-приложение, развернутое в службе приложений Azure. Вы можете использовать существующее веб-приложение или создать и опубликовать веб-приложение в Службе приложений, выполнив инструкции из одного из кратких руководств:

При создании нового приложения или использовании существующего запишите следующие данные:

  • Имя веб-приложения.
  • Группа ресурсов, в которую развертывается веб-приложение.

Эти имена вам понадобятся при дальнейшей работе с этим учебником.

3. Настройка проверки подлинности и авторизации

Теперь, когда у вас есть веб-приложение, работающее в Службе приложений, включите проверку подлинности и авторизацию. Вы используете Microsoft Entra в качестве поставщика удостоверений. Для получения дополнительной информации см. статью Конфигурация аутентификации Microsoft Entra для вашего приложения App Service.

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт.

  2. В разделе Группы ресурсов найдите и выберите свою группу ресурсов. В разделе Обзор выберите страницу управления приложения.

    Снимок экрана, на котором показано, как выбрать страницу управления приложения.

  3. В меню слева приложения выберите «Аутентификация», а затем выберите «Добавить поставщика удостоверений».

  4. На странице "Добавление поставщика удостоверений" выберите Microsoft в качестве поставщика удостоверений для входа с учетными данными Microsoft и Microsoft Entra.

  5. Для типа клиента выберите конфигурацию рабочей силы (текущий клиент) для сотрудников и бизнес-гостей.

  6. Для регистрации приложения и типа регистрации приложения выберите «Создать новую регистрацию приложения», чтобы создать новую регистрацию приложения в Microsoft Entra.

  7. Введите отображаемое имя приложения. Пользователи приложения могут видеть отображаемое имя при использовании приложения, например во время входа.

  8. Для истечения срока действия секрета клиента выберите "Рекомендуется: 180 дней".

  9. Для регистрации приложения>поддерживаемых типов учетных записей, выберите текущий клиент - один клиент, чтобы только пользователи в вашей организации могли войти в веб-приложение.

  10. В разделе "Дополнительные проверки" выберите:

    • Разрешать запросы только из этого приложения для требования клиентского приложения
    • Разрешить запросы от любого удостоверения для требования к удостоверениям
    • Разрешить запросы только от арендодателя для требования арендатора

  11. В разделе настройки аутентификации App Service установите:

    • Требовать проверку подлинности для проверки подлинности
    • Http 302 Найдено перенаправление: рекомендуется для веб-сайтов для запросов, не прошедших проверку подлинности
    • Коробка хранилища токенов

  12. В нижней части страницы "Добавление поставщика удостоверений" выберите "Добавить", чтобы включить аутентификацию для веб-приложения.

    Снимок экрана: настройка проверки подлинности.

    Теперь у вас есть приложение, которое защищено функциями проверки подлинности и авторизации в Службе приложений.

    Примечание.

    Чтобы разрешить доступ учетным записям от других клиентов, измените "URL-адрес издателя" на "https://login.microsoftonline.com/common/v2.0" путем изменения поставщика удостоверений в колонке "Проверка подлинности".

4. Проверка ограниченного доступа к веб-приложению

Если вы включили модуль аутентификации и авторизации App Service в предыдущем разделе, регистрация приложения была создана в вашей рабочей среде или внешнем клиентском аккаунте. Регистрация приложения имеет имя для отображения, которое вы создали на предыдущем шаге.

  1. Чтобы проверить параметры, войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений. Если вы выбрали внешнюю конфигурацию, используйте значок "Параметры" в верхнем меню, чтобы переключиться на внешнего арендатора с вашим веб-приложением из меню каталогов + подписок. Когда вы находитесь в правильном арендаторе:

  2. Перейдите к Удостоверение>Приложениям>Регистрация приложений и выберите Приложения>Регистрация приложений из меню.

  3. Выберите регистрацию приложения, которая была создана.

  4. На странице обзора убедитесь, что для параметра Поддерживаемые типы учетных записей задано значение Только моя организация.

  5. Чтобы убедиться, что доступ к приложению ограничен пользователями в организации, перейдите к обзору веб-приложения и выберите ссылку на домен по умолчанию. Или запустите браузер в инкогнито или частном режиме и перейдите к https://<app-name>.azurewebsites.net (см . заметку сверху).

    Снимок экрана: проверка доступа.

  6. Вы должны быть перенаправлены на защищенную страницу входа. Это доказывает, что пользователи, которые не прошли проверку подлинности, не имеют доступа к сайту.

  7. Войдите в систему как пользователь организации, чтобы получить доступ к сайту. Вы также можете открыть новый браузер и попытаться войти с помощью личной учетной записи, чтобы убедиться, что у пользователей за пределами организации нет доступа.

5. Очистка ресурсов

Если вы выполнили все действия, описанные в этом многочастном руководстве, вы создали службу приложений, план размещения для неё и учетную запись хранения в группе ресурсов. Вы также создали регистрацию приложения в идентификаторе Microsoft Entra. Если вы выбрали внешнюю конфигурацию, возможно, вы создали новый внешний клиент. Если ресурсы и регистрация приложения больше не нужны, удалите их, чтобы за них не взималась плата.

В этом руководстве описано следующее:

  • Удалите ресурсы Azure, созданные в процессе прохождения учебника.

Удаление группы ресурсов

На портале Azure выберите группы ресурсов в меню портала и выберите группу ресурсов, содержащую вашу Службу приложений и план Службы приложений.

Щелкните Удалить группу ресурсов. Одновременно с группой ресурсов удаляются все содержащиеся в ней ресурсы.

Снимок экрана: удаление группы ресурсов.

Выполнение этой команды может занять несколько минут.

Удаление регистрации приложения

В Центре администрирования Microsoft Entra выберите "Приложения> Регистрация приложений". Затем выберите созданное вами приложение. Снимок экрана: выбор регистрации приложения.

В разделе общих сведений регистрации приложения выберите Удалить. Снимок экрана: удаление регистрации приложения.

Удаление внешнего арендатора

Если вы создали новый внешний клиент, его можно удалить. В Центре администрирования Microsoft Entra перейдите к пункту Идентификация>, Обзор>, Управление клиентами.

Выберите клиент, который нужно удалить, и нажмите кнопку "Удалить".

Перед удалением клиента может потребоваться выполнить необходимые действия. Например, может потребоваться удалить все потоки пользователей и регистрации приложений в арендаторе.

Если вы готовы удалить арендатора, нажмите кнопку "Удалить".

Следующие шаги

Из этого руководства вы узнали, как:

  • настроить проверку подлинности для веб-приложения;
  • ограничить доступ к веб-приложению для пользователей в организации.

Служба приложений получает доступ к хранилищу