Konfigurace ověřování v ukázkové webové aplikaci, která volá webové rozhraní API pomocí Azure AD B2C

Tento článek používá ukázkovou ASP.NET webovou aplikaci, která volá webové rozhraní API, a ukazuje, jak do webových aplikací přidat ověřování Azure Active Directory B2C (Azure AD B2C).

Důležité

Ukázková ASP.NET webová aplikace, na kterou odkazuje tento článek, se používá k volání webového rozhraní API s nosným tokenem. Informace o webové aplikaci, která nevolá webové rozhraní API, najdete v tématu Konfigurace ověřování v ukázkové webové aplikaci pomocí Azure AD B2C.

Přehled

OpenID Připojení (OIDC) je ověřovací protokol založený na OAuth 2.0. Pomocí OIDC můžete bezpečně přihlásit uživatele k aplikaci. Tato ukázka webové aplikace používá web Microsoft Identity Web. Microsoft Identity Web je sada ASP.NET základních knihoven, které zjednodušují přidávání podpory ověřování a autorizace do webových aplikací, které můžou volat zabezpečené webové rozhraní API.

Tok přihlášení zahrnuje následující kroky:

  1. Uživatelé přejdou do webové aplikace a vyberou Přihlášení.

  2. Aplikace zahájí žádost o ověření a přesměruje uživatele do Azure AD B2C.

  3. Uživatelé se zaregistrují nebo přihlásí a resetují heslo. Případně se můžou přihlásit pomocí účtu sociální sítě.

  4. Po přihlášení uživatelů azure AD B2C vrátí autorizační kód do aplikace.

  5. Aplikace pak provede následující:

    a. Autorizační kód se vymění s tokenem ID, přístupovým tokenem a obnovovacím tokenem.
    b. Načte deklarace identity tokenu ID a zachová soubor cookie autorizace aplikace.
    c. Uloží obnovovací token do mezipaměti v paměti pro pozdější použití.

Přehled registrace aplikací

Pokud chcete aplikaci povolit přihlášení pomocí Azure AD B2C a volat webové rozhraní API, zaregistrujete dvě aplikace v adresáři Azure AD B2C.

  • Registrace webové aplikace umožňuje vaší aplikaci přihlásit se pomocí Azure AD B2C. Během registrace zadáte identifikátor URI přesměrování. Identifikátor URI přesměrování je koncový bod, na který jsou uživatelé přesměrováni službou Azure AD B2C po dokončení ověřování pomocí Azure AD B2C. Proces registrace aplikace vygeneruje ID aplikace, označované také jako ID klienta, které jednoznačně identifikuje vaši aplikaci. Vytvoříte také tajný klíč klienta, který vaše aplikace používá k bezpečnému získání tokenů.

  • Registrace webového rozhraní API umožňuje vaší aplikaci volat zabezpečené webové rozhraní API. Registrace zahrnuje rozsahy webového rozhraní API. Obory poskytují způsob, jak spravovat oprávnění k chráněným prostředkům, jako je například webové rozhraní API. Oprávnění webové aplikace udělíte rozsahům webového rozhraní API. Při vyžádání přístupového tokenu aplikace určuje požadovaná oprávnění v parametru oboru požadavku.

Architektura a registrace aplikací jsou znázorněny v následujícím diagramu:

Diagram of a web app with web API call registrations and tokens.

Volání webového rozhraní API

Po dokončení ověřování uživatelé komunikují s aplikací, která vyvolá chráněné webové rozhraní API. Webové rozhraní API používá ověřování nosné tokeny . Nosný token je přístupový token, který aplikace získala z Azure AD B2C. Aplikace předá token v autorizační hlavičce požadavku HTTPS.

Authorization: Bearer <access token>

Pokud obor přístupového tokenu neodpovídá oborům webového rozhraní API, knihovna ověřování získá nový přístupový token se správnými obory.

Odhlášení

Tok odhlášení zahrnuje následující kroky:

  1. Z aplikace se uživatelé odhlásí.
  2. Aplikace vymaže objekty relace a knihovna ověřování vymaže mezipaměť tokenů.
  3. Aplikace přesáhne uživatele do koncového bodu pro odhlášení z Azure AD B2C, aby ukončila relaci Azure AD B2C.
  4. Uživatelé se přesměrují zpět do aplikace.

Požadavky

Počítač, na kterém běží:

Krok 1: Konfigurace toku uživatele

Když se uživatelé pokusí přihlásit k aplikaci, aplikace spustí žádost o ověření do koncového bodu autorizace prostřednictvím toku uživatele. Tok uživatele definuje a řídí uživatelské prostředí. Jakmile uživatelé dokončí tok uživatele, Azure AD B2C vygeneruje token a pak přesměruje uživatele zpět do vaší aplikace.

Pokud jste to ještě neudělali, vytvořte tok uživatele nebo vlastní zásadu. Opakujte kroky pro vytvoření tří samostatných toků uživatelů následujícím způsobem:

  • Kombinovaný tok přihlášení a registrace uživatele, například susi. Tento tok uživatele podporuje také zapomenuté heslo .
  • Profil upravuje tok uživatele, například edit_profile.
  • Tok uživatele resetování hesla, například reset_password.

Předzálohuje B2C_1_ Azure AD B2C na název toku uživatele. Například z susi se stane B2C_1_susi.

Krok 2: Registrace webových aplikací

V tomto kroku vytvoříte webovou aplikaci a registraci aplikace webového rozhraní API a určíte rozsahy webového rozhraní API.

Krok 2.1: Registrace aplikace webového rozhraní API

Pokud chcete vytvořit registraci aplikace webového rozhraní API (ID aplikace: 2), postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná .

  3. V nastavení portálu | Adresářů a stránka předplatných , vyhledejte adresář Azure AD B2C v seznamu názvů adresářů a pak vyberte Přepnout.

  4. Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.

  5. Vyberte Registrace aplikací a pak vyberte Nová registrace.

  6. Jako Název zadejte název aplikace (například my-api1). U identifikátoru URI přesměrování a podporovaných typů účtů ponechte výchozí hodnoty.

  7. Vyberte Zaregistrovat.

  8. Po dokončení registrace aplikace vyberte Přehled.

  9. Poznamenejte si hodnotu ID aplikace (klienta) pro pozdější použití při konfiguraci webové aplikace.

    Screenshot that demonstrates how to get a web A P I application I D.

Krok 2.2: Konfigurace oborů aplikací webového rozhraní API

  1. Výběrem aplikace my-api1, kterou jste vytvořili (ID aplikace: 2), otevřete její stránku Přehled.

  2. V části Spravovat vyberte Zveřejnit rozhraní API.

  3. Vedle identifikátoru URI ID aplikace vyberte odkaz Nastavit. Nahraďte výchozí hodnotu (GUID) jedinečným názvem (například tasks-api) a pak vyberte Uložit.

    Když vaše webová aplikace požádá o přístupový token pro webové rozhraní API, měl by tento identifikátor URI přidat jako předponu pro každý obor, který definujete pro rozhraní API.

  4. V části Obory definované tímto rozhraním API vyberte Přidat obor.

  5. Vytvoření oboru, který definuje přístup pro čtení k rozhraní API:

    1. Jako název oboru zadejte tasks.read.
    2. Pro Správa zobrazovaný název souhlasu zadejte přístup pro čtení k rozhraní API pro úlohy.
    3. Jako popis souhlasu Správa zadejte Možnost Umožňuje přístup pro čtení k rozhraní API pro úlohy.
  6. Vyberte Přidat rozsah.

  7. Vyberte Přidat obor a pak přidejte obor, který definuje přístup k zápisu do rozhraní API:

    1. Jako název oboru zadejte tasks.write.
    2. Pro Správa zobrazovaný název souhlasu zadejte přístup k zápisu do rozhraní API pro úlohy.
    3. Jako popis souhlasu Správa zadejte Povolení přístupu k zápisu do rozhraní API pro úlohy.
  8. Vyberte Přidat rozsah.

Krok 2.3: Registrace webové aplikace

Pokud chcete vytvořit registraci webové aplikace, postupujte takto:

  1. Vyberte Registrace aplikací a pak vyberte Nová registrace.

  2. V části Název zadejte název aplikace (například webapp1).

  3. V sekci Podporované typy účtů vyberte Účty u libovolného zprostředkovatele identity nebo organizačního adresáře (pro ověřování uživatelů pomocí toků uživatelů).

  4. V části Identifikátor URI přesměrování vyberte Web a potom do pole adresa URL zadejte https://localhost:5000/signin-oidc.

  5. V části Oprávnění zaškrtněte políčko Udělit souhlas správce s otevřenými a offline přístupy.

  6. Vyberte Zaregistrovat.

  7. Po dokončení registrace aplikace vyberte Přehled.

  8. Poznamenejte si ID aplikace (klienta) pro pozdější použití při konfiguraci webové aplikace.

    Screenshot of the web app Overview page for recording your web application ID.

Krok 2.4: Vytvoření tajného klíče klienta webové aplikace

Vytvořte tajný klíč klienta pro registrovanou webovou aplikaci. Webová aplikace používá tajný klíč klienta k prokázání své identity při žádosti o tokeny.

  1. V části Spravovat vyberte Certifikáty a tajné kódy.
  2. Vyberte Nový tajný klíč klienta.
  3. Do pole Popis zadejte popis tajného klíče klienta (například klientiecret1).
  4. V části Konec platnosti vyberte dobu, po kterou je tajný klíč platný, a pak vyberte Přidat.
  5. Poznamenejte si hodnotu tajného kódu. Tuto hodnotu použijete pro konfiguraci v pozdějším kroku.

Krok 2.5: Udělení oprávnění webové aplikace pro webové rozhraní API

Pokud chcete aplikaci udělit oprávnění (ID aplikace: 1), postupujte takto:

  1. Vyberte Registrace aplikací a pak vyberte aplikaci, kterou jste vytvořili (ID aplikace: 1).

  2. V části Spravovat vyberte oprávnění rozhraní API.

  3. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.

  4. Vyberte kartu Moje rozhraní API.

  5. Vyberte rozhraní API (ID aplikace: 2), ke kterému má mít webová aplikace udělený přístup. Zadejte například my-api1.

  6. V části Oprávnění rozbalte úkoly a vyberte obory, které jste definovali dříve (například tasks.read a tasks.write).

  7. Vyberte Přidat oprávnění.

  8. Vyberte Udělení souhlasu správce pro <název> vašeho tenanta.

  9. Vyberte Ano.

  10. Vyberte Aktualizovat a potom ověřte, že se pro oba obory zobrazuje hodnota Uděleno pro ... .

  11. V seznamu Nakonfigurovaná oprávnění vyberte obor a zkopírujte celý název oboru.

    Screenshot of the configured permissions pane, showing that read access permissions are granted.

Krok 3: Získání ukázky webové aplikace

Stáhněte si soubor ZIP nebo spuštěním následujícího příkazu Bash naklonujte ukázkovou webovou aplikaci z GitHubu.

git clone https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2

Extrahujte ukázkový soubor do složky, kde celková délka cesty je 260 nebo méně znaků.

Krok 4: Konfigurace ukázkového webového rozhraní API

Ve složce s ukázkou ve složce 4-WebApp-your-API/4-2-B2C/TodoListService otevřete projekt TodoListService.csproj pomocí sady Visual Studio nebo Visual Studio Code.

V kořenové složce projektu otevřete soubor appsettings.json . Tento soubor obsahuje informace o vašem zprostředkovateli identity Azure AD B2C. Aplikace webového rozhraní API tyto informace používá k ověření přístupového tokenu, který webová aplikace předává jako nosný token. Aktualizujte následující vlastnosti nastavení aplikace:

Oddíl Key Hodnota
AzureAdB2C Instance První část názvu tenanta Azure AD B2C Například https://contoso.b2clogin.com.
AzureAdB2C Doména Úplný název tenanta Azure AD B2C Například contoso.onmicrosoft.com.
AzureAdB2C ClientId ID aplikace webového rozhraní API z kroku 2.1.
AzureAdB2C SignUpSignInPolicyId Toky uživatelů nebo vlastní zásady, které jste vytvořili v kroku 1.

Konečný konfigurační soubor by měl vypadat jako následující soubor JSON:

{
  "AzureAdB2C": {
    "Instance": "https://contoso.b2clogin.com",
    "Domain": "contoso.onmicrosoft.com",
    "ClientId": "<web-api-app-application-id>",
    "SignedOutCallbackPath": "/signout/<your-sign-up-in-policy>",
    "SignUpSignInPolicyId": "<your-sign-up-in-policy>"
  },
  // More settings here
}

Krok 4.1: Nastavení zásad oprávnění

Webové rozhraní API ověřuje, že se uživatel ověřil pomocí nosné tokenu, a nosný token má nakonfigurované akceptované obory. Pokud nosný token nemá žádný z těchto akceptovaných oborů, webové rozhraní API vrátí stavový kód HTTP 403 (Zakázáno) a zapíše do textu odpovědi zprávu s informací, které obory se v tokenu očekávají.

Pokud chcete nakonfigurovat akceptované obory, otevřete Controller/TodoListController.cs třídu a nastavte název oboru bez úplného identifikátoru URI.

[RequiredScope("tasks.read")]

Krok 4.2: Spuštění ukázkové webové aplikace API

Pokud chcete webové aplikaci povolit volání ukázky webového rozhraní API, spusťte webové rozhraní API následujícím způsobem:

  1. Pokud se o to žádáte, obnovte závislosti.
  2. Sestavte a spusťte projekt.
  3. Po sestavení projektu spustí Visual Studio nebo Visual Studio Code webové rozhraní API v prohlížečích s následující adresou: https://localhost:44332.

Krok 5: Konfigurace ukázkové webové aplikace

V ukázkové složce ve 4-WebApp-your-API/4-2-B2C/Client složce otevřete projekt TodoListClient.csproj pomocí sady Visual Studio nebo editoru Visual Studio Code.

V kořenové složce projektu otevřete appsettings.json soubor. Tento soubor obsahuje informace o vašem zprostředkovateli identity Azure AD B2C. Tato webová aplikace používá tyto informace k vytvoření vztahu důvěryhodnosti s Azure AD B2C, přihlášení a odhlášení uživatelů, získání tokenů a jejich ověření. Aktualizujte následující vlastnosti nastavení aplikace:

Oddíl Key Hodnota
AzureAdB2C Instance První část názvu tenanta Azure AD B2C (napříkladhttps://contoso.b2clogin.com).
AzureAdB2C Doména Úplný název tenanta Azure AD B2C (například contoso.onmicrosoft.com).
AzureAdB2C ClientId ID webové aplikace z kroku 2.3.
AzureAdB2C ClientSecret Tajný kód webové aplikace z kroku 2.4.
AzureAdB2C SignUpSignInPolicyId Toky uživatelů nebo vlastní zásady, které jste vytvořili v kroku 1.
Seznam úkolů TodoListScope Obory webového rozhraní API, které jste vytvořili v kroku 2.5.
Seznam úkolů TodoListBaseAddress Základní identifikátor URI vašeho webového rozhraní API (například https://localhost:44332).

Konečný konfigurační soubor by měl vypadat jako následující JSON:

{
  "AzureAdB2C": {
    "Instance": "https://contoso.b2clogin.com",
    "Domain": "contoso.onmicrosoft.com",
    "ClientId": "<web-app-application-id>",
    "ClientSecret": "<web-app-application-secret>",  
    "SignedOutCallbackPath": "/signout/<your-sign-up-in-policy>",
    "SignUpSignInPolicyId": "<your-sign-up-in-policy>"
  },
  "TodoList": {
    "TodoListScope": "https://contoso.onmicrosoft.com/api/demo.read",
    "TodoListBaseAddress": "https://localhost:44332"
  }
}

Krok 6: Spuštění ukázkové webové aplikace

  1. Sestavte a spusťte projekt.
  2. Přejděte na https://localhost:5000.
  3. Dokončete proces registrace nebo přihlášení.

Po úspěšném ověření se na navigačním panelu zobrazí zobrazované jméno. Pokud chcete zobrazit deklarace identity, které token Azure AD B2C vrátí do vaší aplikace, vyberte TodoList.

Screenshot of the web app token claims.

Nasazení aplikace

V produkční aplikaci je identifikátor URI přesměrování registrace aplikace obvykle veřejně přístupný koncový bod, ve kterém je vaše aplikace spuštěná, například https://contoso.com/signin-oidc.

Identifikátory URI pro přesměrování můžete v registrovaných aplikacích kdykoli přidávat a upravovat. Pro identifikátory URI přesměrování platí následující omezení:

  • Adresa URL odpovědi musí začínat schématem https.
  • V adrese URL odpovědi se rozlišují malá a velká písmena. Jeho případ se musí shodovat s případem cesty URL spuštěné aplikace.

Mezipaměť tokenů pro webovou aplikaci

Ukázka webové aplikace používá serializaci mezipaměti tokenů v paměti. Tato implementace je skvělá v ukázkách. Je také dobré v produkčních aplikacích za předpokladu, že nevadí, pokud dojde ke ztrátě mezipaměti tokenů při restartování webové aplikace.

Pro produkční prostředí doporučujeme použít distribuovanou mezipaměť paměti. Například mezipaměť Redis, NCache nebo mezipaměť SQL Serveru. Podrobnosti o implementacích mezipaměti distribuované paměti naleznete v tématu Serializace mezipaměti tokenů.

Další kroky