Megosztás a következőn keresztül:

Azure-hitelesítés a Data API Builderben

  • Cikk

A Data API Builder lehetővé teszi a fejlesztők számára, hogy meghatározzák azt a hitelesítési mechanizmust (identitásszolgáltatót), amelyet a Data API Builder használni szeretne a kérések hitelesítéséhez.

A hitelesítés egy támogatott identitásszolgáltatóhoz van delegálva, ahol a hozzáférési jogkivonat kibocsátható. A Data API Builder felé irányuló bejövő kérésekhez egy beszerzett hozzáférési jogkivonatot kell tartalmaznia. A Data API Builder ezután ellenőrzi a bemutatott hozzáférési jogkivonatokat, biztosítva, hogy a Data API Builder legyen a jogkivonat célközönsége.

A támogatott identitásszolgáltató konfigurációs beállításai a következők:

  • StaticWebApps
  • JSON Webes Jogkivonatok (JWT)

Fejlesztés alatt (AZ Login)

Ha a kapcsolati sztringjeiben az Azure SQL Database-ben Authentication='Active Directory Default'-t használja, az ügyfél Azure Active Directory (AAD) hitelesítő adatokkal fogja hitelesíteni magát. A pontos hitelesítési módszert a környezet határozza meg. Amikor egy fejlesztő az loginfuttat, az Azure CLI megnyitja a böngészőablakot, amely arra kéri a felhasználót, hogy jelentkezzen be Microsoft-fiókkal vagy vállalati hitelesítő adatokkal. A hitelesítés után az Azure CLI kiváltja és gyorsítótárazza az Azure Active Directory-identitáshoz társított tokent. Ez a jogkivonat ezután az Azure-szolgáltatásokhoz érkező kérések hitelesítésére szolgál anélkül, hogy hitelesítő adatokat kellene megadnia a kapcsolati sztringben.

"data-source": {
    "connection-string": "...;Authentication='Active Directory Default';"
}

A helyi hitelesítő adatok beállításához egyszerűen használja a az login-at, miután telepítette az Azure CLI-t.

az login

Azure Static Web Apps-hitelesítés (EasyAuth)

A Data API Builder elvárja, hogy az Azure Static Web Apps-hitelesítés (EasyAuth) hitelesítse a kérést, és metaadatokat adjon meg a hitelesített felhasználóról a X-MS-CLIENT-PRINCIPAL HTTP-fejlécben a StaticWebAppslehetőség használatakor. A Static Web Apps által biztosított hitelesített felhasználói metaadatokra a következő dokumentáció hivatkozhat: Felhasználói adatok elérése.

A StaticWebApps szolgáltató használatához meg kell adnia a következő konfigurációt a konfigurációs fájl runtime.host szakaszában:

"authentication": {
    "provider": "StaticWebApps"
}

A StaticWebApps-szolgáltató használata akkor hasznos, ha a Data API Buildert az Azure-ban tervezi futtatni, az App Service-ben üzemelteti és egy tárolóban futtatja: Egyéni tároló futtatása az Azure App Service-.

JWT

A JWT-szolgáltató használatához konfigurálnia kell a runtime.host.authentication szakaszt a kapott JWT-jogkivonat ellenőrzéséhez szükséges információk megadásával:

"authentication": {
    "provider": "AzureAD",
    "jwt": {
        "audience": "<APP_ID>",
        "issuer": "https://login.microsoftonline.com/<AZURE_AD_TENANT_ID>/v2.0"
    }
}

Szerepkörök kiválasztása

Ha egy kérés hitelesítése a rendelkezésre álló lehetőségek bármelyikével történik, a jogkivonatban meghatározott szerepkörök segítenek annak meghatározásában, hogy a rendszer hogyan értékeli ki az engedélyszabályokat, hogy engedélyezze a kérés. A hitelesített kérések automatikusan hozzá lesznek rendelve a authenticated rendszerszerepkörhöz, kivéve, ha felhasználói szerepkört kérnek használathoz. További információért lásd a engedélyezést.

Névtelen kérések

A kérések hitelesítés nélkül is megadhatók. Ilyen esetekben a rendszer automatikusan hozzárendeli a kérést a anonymous rendszerszerepkörhöz, hogy megfelelően jóváhagyják.

X-MS-API-ROLE kérelem fejléce

A Data API Builder megköveteli, hogy a fejléc X-MS-API-ROLE egyéni szerepkörökkel engedélyezze a kéréseket. A X-MS-API-ROLE értékének meg kell egyeznie a tokenben megadott szerepkörrel. Ha például a jogkivonat a Sample.Roleszerepkört tartalmazza, akkor az X-MS-API-ROLE is a Sample.Roleszerepkör kell, hogy legyen. További információ: engedélyezési felhasználói szerepkörök.

Kapcsolódó tartalom