如何将应用服务应用程序配置为使用 Azure Active Directory 登录

本主题说明如何将 Azure 应用程序服务配置为使用 Azure Active Directory 作为身份验证提供程序。

使用快速设置配置 Azure Active Directory

  1. Azure 门户中,导航到应用程序。 单击“设置”,然后单击“身份验证/授权”。

  2. 如果未启用“身份验证/授权”功能,请将开关切换为“开启”。

  3. 单击“Azure Active Directory”,然后单击“管理模式”下的“快速”。

  4. 单击“确定”,在 Azure Active Directory 中注册应用程序。 这将创建新的注册。 如果想要选择现有注册,请单击“选择现有应用”,然后在租户中搜索以前创建的注册的名称。 单击注册以选中它,再单击“确定”。 然后,在 Azure Active Directory“设置”边栏选项卡上单击“确定”。 默认情况下,应用服务提供身份验证但不限制对站点内容和 API 的已授权访问。 必须在应用代码中为用户授权。

  5. (可选)若要限制只有通过 Azure Active Directory 身份验证的用户可以访问站点,请将“请求未经身份验证时需执行的操作”设置为“使用 Azure Active Directory 登录”。 这会要求对所有请求进行身份验证,而所有未经身份验证的请求都将被重定向到 Azure Active Directory 进行身份验证。

  6. 单击“保存” 。

现在,可以使用 Azure Active Directory 在应用中进行身份验证。

(备选方法)使用高级设置手动配置 Azure Active Directory

也可以选择手动提供配置设置。 如果要使用的 AAD 租户不同于登录 Azure 所用的租户,这是较好的解决方案。 如果要完成配置,必须先在 Azure Active Directory 中创建注册,然后向应用服务提供一些注册详细信息。

将应用程序注册到 Azure Active Directory

  1. 登录到 Azure 门户并导航到应用程序。 复制应用程序 URL。 稍后要使用此信息配置 Azure Active Directory 应用。
  2. 导航到“Active Directory”,选择“应用注册”,然后单击顶部的“新建应用程序注册”,开始新的应用注册。
  3. 在“创建应用程序注册”对话框中,为应用程序输入一个“名称”,选择“Web 应用 API”类型,然后在“登录 URL”框中粘贴应用程序 URL(参见步骤 1)。 然后单击“创建”。
  4. 几秒钟内就会看到刚创建的新应用程序注册出现。
  5. 添加应用程序以后,请依次单击应用程序注册名称、顶部的“设置”、“属性”。
  6. 在“应用 ID URI”框中,粘贴应用程序 URL(参见步骤 1),并在“主页 URL”中粘贴应用程序 URL(参见步骤 1),然后单击“保存”
  7. 现在请单击“回复 URL”,编辑“回复 URL”,粘贴应用程序 URL(参见步骤 1),修改协议,确保其为 https://(而不是 http://)协议,然后将 /.auth/login/aad/callback 附加到 URL 末尾。 (例如 https://contoso.azurewebsites.net/.auth/login/aad/callback。)单击“保存” 。
  8. 此时请复制应用的应用程序 ID。 请保留此 ID 供以后使用。 需要提供此 ID 才能配置 Web 应用程序。
  9. 关闭应用程序注册详细信息边栏选项卡。 此时会回到 Azure Active Directory 应用注册摘要,请单击顶部的“终结点”按钮,然后复制联合元数据文档 URL。
  10. 打开新的浏览器窗口并导航到该 URL,只需进行粘贴并浏览到 XML 页即可。 文档顶部为 EntityDescriptor 元素,其中应有一个格式为 https://sts.windows.net/ 的 entityID 属性,后接特定于租户的 GUID(称为“租户 ID”)。 复制此值 - 它会用作 颁发者 URL。 稍后配置应用程序时要用到此信息。

将 Azure Active Directory 信息添加到应用程序

  1. 返回 Azure 门户,导航到应用程序。 单击“身份验证/授权”。 如果未启用“身份验证/授权”功能,请将开关切换为“开启”。 单击“Azure Active Directory”,以便在“身份验证提供程序”下配置应用程序。 (可选)默认情况下,应用服务提供身份验证但不限制对站点内容和 API 的已授权访问。 必须在应用代码中为用户授权。 选择“请求未经身份验证时需执行的操作”,将其设置为“使用 Azure Active Directory 登录”。 这会要求对所有请求进行身份验证,而所有未经身份验证的请求都将被重定向到 Azure Active Directory 进行身份验证。
  2. 在 Active Directory 身份验证配置中,单击“管理模式”下的“高级”。 将应用程序 ID(参见步骤 8)粘贴到“客户端 ID”框中,将 entityId(参见步骤 10)粘贴到“颁发者 URL”值中。 。
  3. 在 Active Directory 身份验证配置边栏选项卡上,单击“保存”。

现在,可以使用 Azure Active Directory 在应用中进行身份验证。

(可选)配置本机客户端应用程序

Azure Active Directory 还允许注册权限映射控制度更高的本机客户端。 如果想要使用 Active Directory 身份验证库等库执行登录,则需要这种注册。

  1. Azure 经典管理门户中,导航到“Active Directory”。

  2. 选择目录,然后选择顶部的“应用程序”选项卡。 单击底部的“添加”,创建新的应用注册。

  3. 单击“添加我的组织正在开发的应用程序” 。

  4. 在“添加应用程序”向导中,为应用程序输入“名称”,然后单击“本机客户端应用程序”类型。 然后单击以继续。

  5. 在“重定向 URI”框中,使用 HTTPS 方案输入站点的 /.auth/login/done 终结点。 此值应类似于 https://contoso.chinacloudsites.cn/.auth/login/done。 如果要创建 Windows 应用程序,请改为使用包 SID 作为 URI。

  6. 添加本机应用程序后,单击“配置”选项卡。客户端 ID 并记下此值。

  7. 向下滚动到“针对其他应用程序的权限”部分,然后单击“添加应用程序”。

  8. 搜索以前注册的 Web 应用程序并单击加号图标。 然后,单击勾选图标关闭对话框。 如果找不到 Web 应用程序,请导航到其注册并添加新的回复 URL(例如,当前 URL 的 HTTP 版本),单击“保存”,然后重复这些步骤 - 应用程序应会显示在列表中。

  9. 在刚刚添加的新项中,打开“委派的权限”下拉列表,然后选择“访问(appName)”。 。

现已配置可以访问应用服务应用程序的本机客户端应用程序。

相关内容