在 Azure 容器应用中启用通过 Custom OpenID Connect 提供程序进行身份验证和授权
本文介绍了如何将 Azure 容器应用配置为使用符合 OpenID Connect 规范的自定义身份验证提供程序。 OpenID Connect (OIDC) 是被许多标识提供方 (IDP) 广泛采用的行业标准。 无需了解规范的详细信息便可将应用配置为使用符合规范的 IDP。
你可以将应用配置为使用一个或多个 OIDC 提供者。 必须在配置中为每个提供者提供独一无二的字母数字名称,只有一个提供者可以充当默认重定向目标。
提供商会要求你使用该标准注册应用程序的详细信息。 其中一个步骤涉及指定重定向 URI。 此重定向 URI 的格式为 <app-url>/.auth/login/<provider-name>/callback
。 每个标识提供者都应提供有关如何完成这些步骤的更多说明。
备注
某些提供者可能要求你执行额外的配置步骤,并说明了如何使用其提供的值。 例如,Apple 提供了一个私钥,该私钥本身并不用作 OIDC 客户端机密,你必须使用它来制作一个 JWT,该 JWT 被视为你在应用配置中提供的机密(请参阅使用 Apple ID 登录文档中的“创建客户端机密”部分)
你需要收集应用程序的客户端 ID 和客户端密码。
重要
客户端密码是关键的安全凭据。 请勿与任何人分享此密钥或在客户端应用程序中分发它。
此外,你还需要提供商的 OpenID Connect 元数据。 此信息通常是通过一个配置元数据文档(提供者的颁发者 URL,以 /.well-known/openid-configuration
为后缀)公开的。 请确保收集此配置 URL。
如果无法使用配置元数据文档,则需要单独收集以下值:
- 颁发者 URL(有时显示为
issuer
) - OAuth 2.0 授权终结点(有时显示为
authorization_endpoint
) - OAuth 2.0 令牌终结点(有时显示为
token_endpoint
) - OAuth 2.0 JSON Web 密钥集文档的 URL(有时显示为
jwks_uri
)
登录 Azure 门户并导航到你的应用程序。
在左侧菜单中选择“身份验证”。 选择“添加标识提供者”。
在“标识提供者”下拉列表中选择“OpenID Connect”。
提供此前为“OpenID 提供者名称”选择的独一无二的字母数字名称。
如果你有标识提供者提供的元数据文档的 URL,请提供该值作为“元数据 URL”。 否则,请选择“单独提供终结点”选项,将从标识提供者处收集的每个 URL 放入相应的字段中。
在相应的字段中提供之前收集的“客户端 ID”和“客户端机密”。
为客户端机密指定一个应用程序设置名称。 客户端密码以机密的形式存储在容器应用中。
按“添加”按钮完成标识提供者的设置。
请通过以下指南获取有关处理已经过身份验证的用户的详细信息。