Megosztás a következőn keresztül:

Felügyelt identitás használata

  • Cikk

Ez a cikk bemutatja, hogyan hozhat létre és használhat felügyelt identitást az Azure Web PubSubban.

Fontos

Az Azure Web PubSub csak egy felügyelt identitást támogat. Hozzáadhat rendszer által hozzárendelt identitást vagy felhasználó által hozzárendelt identitást.

Rendszer által hozzárendelt identitás hozzáadása

Ha egy felügyelt identitást szeretne beállítani az Azure Portalon, hozzon létre egy Azure Web PubSub-példányt, majd kapcsolja be a funkciót.

  1. Az Azure Portalon hozzon létre egy Web PubSub-erőforrást. Nyissa meg az erőforrást a portálon.

  2. A bal oldali menüben válassza az Identitás lehetőséget.

  3. Válassza a Rendszerhez rendelt lapot, majd állítsa be az Állapot beállítást. Válassza a Mentés lehetőséget.

    Képernyőkép egy rendszer által hozzárendelt identitás Azure Portalon való hozzáadásáról.

Felhasználó által hozzárendelt identitás hozzáadása

Ha egy web PubSub-erőforrást felhasználó által hozzárendelt identitással szeretne létrehozni, hozza létre az identitást, majd adja hozzá az identitás erőforrás-azonosítóját a szolgáltatáshoz.

  1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitáserőforrást.

  2. Az Azure Portalon hozzon létre egy Web PubSub-erőforrást. Nyissa meg az erőforrást a portálon.

  3. A bal oldali menüben válassza az Identitás lehetőséget.

  4. Válassza a Felhasználó által hozzárendelt lapot, majd válassza a Hozzáadás lehetőséget.

  5. Keresse meg a létrehozott identitást, és jelölje ki. Válassza a Hozzáadás lehetőséget.

    Képernyőkép egy felhasználó által hozzárendelt identitás azure portalon való hozzáadásáról.

Felügyelt identitás használata ügyfélesemény-forgatókönyvekben

Az Azure Web PubSub egy teljes mértékben felügyelt szolgáltatás, így nem használhat felügyelt identitást a jogkivonatok manuális lekéréséhez. Ehelyett, amikor a Web PubSub eseményeket küld egy eseménykezelőnek, a felügyelt identitás használatával szerez be egy hozzáférési jogkivonatot. A szolgáltatás ezután beállítja a hozzáférési jogkivonatot a Authorization HTTP-kérés fejlécében.

Felügyelt identitás hitelesítésének beállítása eseménykezelőhöz

  1. Adjon hozzá egy rendszer által hozzárendelt identitást vagy egy felhasználó által hozzárendelt identitást.

  2. Nyissa meg a Központ beállításainak konfigurálását, és adjon hozzá vagy szerkesszen egy felsőbb rétegbeli eseménykezelőt.

    Képernyőkép a Központ beállításainak konfigurálása panelen használandó beállításokról.

  3. A Hitelesítés csoportban válassza a Felügyelt identitás használata lehetőséget, majd jelölje be a Kibocsátott jogkivonat célközönségének megadása jelölőnégyzetet. A célközönség lesz a aud hozzáférési jogkivonat jogcíme. A jogcím része lehet az eseménykezelő érvényesítésének.

    A hitelesítéshez az alábbi lehetőségek közül választhat:

    • Használjon egy meglévő Microsoft Entra-alkalmazást. A rendszer a választott alkalmazás alkalmazásazonosítóját használja.
    • Használja a szolgáltatásnév alkalmazásazonosítójának URI-ját.

    Fontos

    Ha üres erőforrást használ, az ténylegesen megszerez egy tokencélt a Microsoft Graphhoz. A Microsoft Graph jelenleg engedélyezi a tokentitkosítást, ezért az alkalmazások nem támogatják a jogkivonat hitelesítését a Microsoft Graphon kívül. Mindig létre kell hoznia egy szolgáltatásnevet, amely a felsőbb rétegbeli célnak megfelelő. Állítsa be az alkalmazásazonosítót vagy az alkalmazásazonosító URI-értékét a létrehozott szolgáltatásnévhez.

Hitelesítés egy Azure Functions-alkalmazásban

A Függvényalkalmazások hozzáférés-érvényesítési funkcióját egyszerűen beállíthatja kódmódosítások nélkül.

  1. Az Azure Portalon nyissa meg a Functions alkalmazást.

  2. A bal oldali menüben válassza a Hitelesítés lehetőséget.

  3. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

  4. Az Alapszintű beállítások lapon az identitásszolgáltatónál válassza a Microsoftot.

  5. Ha a kérés hitelesítése nem történik meg, válassza a Bejelentkezés a Microsoft Entra-azonosítóval lehetőséget.

  6. Az új regisztráció létrehozásának lehetősége alapértelmezés szerint be van jelölve. Módosíthatja a regisztráció nevét. A Microsoft Entra-szolgáltató engedélyezéséről további információt a Azure-alkalmazás szolgáltatás vagy az Azure Functions alkalmazás konfigurálása Microsoft Entra-azonosítós bejelentkezés használatára című témakörben talál.

    Képernyőkép az identitásszolgáltató hozzáadásának alapvető információiról.

  7. Nyissa meg a Web PubSub-erőforrást, és adjon hozzá egy rendszer által hozzárendelt identitást vagy egy felhasználó által hozzárendelt identitást.

  8. A Web PubSub-erőforrás bal oldali menüjében válassza a Beállítások lehetőséget.

  9. Válassza a Szerkesztés lehetőséget a központ beállításainak szerkesztéséhez, majd válassza a Szerkesztés lehetőséget az eseménykezelő beállításainak szerkesztéséhez. A Hitelesítés csoportban válassza a Felügyelt identitás használata lehetőséget, és jelölje be a Kiválasztás a meglévő alkalmazásokból jelölőnégyzetet. Válassza ki a létrehozott alkalmazást.

Miután konfigurálta ezeket a beállításokat, a Functions alkalmazás elutasítja azokat a kéréseket, amelyek nem rendelkeznek hozzáférési jogkivonattal a fejlécben.

Hozzáférési jogkivonat érvényesítése

Ha nem a Azure-alkalmazás Szolgáltatás vagy az Azure Functions Web Apps szolgáltatását használja, a jogkivonatot is érvényesítheti.

A fejlécben lévő Authorization jogkivonat egy Microsoft Identitásplatform hozzáférési jogkivonat.

A hozzáférési jogkivonat érvényesítéséhez az alkalmazásnak a célközönséget és az aláírási jogkivonatot is ellenőriznie kell. Az aláírási jogkivonatokat az OpenID felderítési dokumentumban szereplő értékekkel kell ellenőrizni. Például tekintse meg a dokumentum bérlőfüggetlen verzióját.

A Microsoft Entra köztes szoftver beépített képességekkel rendelkezik a hozzáférési jogkivonatok érvényesítéséhez. A minták között böngészve megtalálhatja a használni kívánt nyelven írtat.

Kódtárakat és kódmintákat biztosítunk, amelyek bemutatják, hogyan kezelheti a jogkivonatok érvényesítését. A JSON Web Token (JWT) érvényesítéséhez számos nyílt forráskódú partnerkódtár is elérhető. Szinte minden platformhoz és nyelvhez van legalább egy lehetőség. A Microsoft Entra engedélyezési kódtárairól és kódmintákról további információt Microsoft Identitásplatform hitelesítési kódtárakban talál.

Ha az eseménykezelő az Azure Functionsben vagy a Web Appsben üzemel, egyszerűen konfigurálhatja a Microsoft Entra-bejelentkezést.

Felügyelt identitás használata kulcstartó-referenciaként

A Web PubSub hozzáférhet egy kulcstartóhoz, hogy titkos kulcsokat szerezzen be egy felügyelt identitás használatával.

  1. Adjon hozzá egy rendszer által hozzárendelt identitást vagy egy felhasználó által hozzárendelt identitást az Azure Web PubSubhoz.

  2. A kulcstartóban hozzáférési szabályzatok használatával adjon titkos olvasási engedélyeket a felügyelt identitáshoz. További információ: Kulcstartó hozzáférési szabályzat hozzárendelése az Azure Portalon.

Ez a funkció jelenleg a következő forgatókönyvben használható:

  • Szintaxissal {@Microsoft.KeyVault(SecretUri=<secret-identity>)} lekérhet titkos kulcsokat egy kulcstartóból az eseménykezelő URL-sablonbeállításában.

Kapcsolódó tartalom