你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Static Web Apps 中的自定义身份验证

2024-07-22

Azure Static Web Apps 提供托管身份验证，此身份验证方法使用 Azure 管理的提供程序注册。为了实现比该注册更高的灵活性，可使用自定义注册替代默认设置。

自定义身份验证还允许配置支持 OpenID Connect 的自定义提供程序。此配置允许注册多个外部提供程序。
使用任何自定义注册会禁用所有预配置的提供程序。

注意

只能在 Azure Static Web Apps 标准计划中使用自定义身份验证。

配置自定义标识提供程序

在auth配置文件的部分中配置自定义标识提供程序。

为了避免在源代码管理中添加机密，配置将在配置文件的应用程序设置中查找匹配的名称。你还可以选择将机密存储在 Azure 密钥保管库中。

要创建注册，请首先创建以下应用程序设置：

设置名称	“值”
`AZURE_CLIENT_ID`	Microsoft Entra 应用注册的应用程序（客户端）ID。
`AZURE_CLIENT_SECRET_APP_SETTING_NAME`	包含 Microsoft Entra 应用注册的客户端密码的应用程序设置的名称。

接下来，使用以下示例在配置文件中配置提供程序。

Microsoft Entra 提供程序有两个不同的版本。版本 1 显式定义了 userDetailsClaim，它允许有效负载返回用户信息。相比之下，版本 2 默认返回用户信息，并由 openIdIssuer URL 中的 v2.0 指定。

Microsoft Entra 版本 1

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

请确保将 <TENANT_ID> 替换为你的 Microsoft Entra 租户 ID。

Microsoft Entra 版本 2

{
  "auth": {
    "identityProviders": {
      "azureActiveDirectory": {
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/<TENANT_ID>/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretSettingName": "AZURE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

请确保将 <TENANT_ID> 替换为你的 Microsoft Entra 租户 ID。

有关如何配置 Microsoft Entra ID 的详细信息，请参阅有关使用现有注册的应用服务身份验证/授权文档。

若要配置哪些帐户可以登录，请参阅修改应用程序支持的帐户和将 Microsoft Entra 应用限制为 Microsoft Entra 租户中的一组用户。

注意

虽然 Microsoft Entra ID 的配置部分是 azureActiveDirectory，但平台在用于登录、注销和清除用户信息的 URL 中将它别名为 aad。有关详细信息，请参阅身份验证和授权部分。

自定义证书

使用以下步骤将自定义证书添加到 Microsoft Entra ID 应用注册。

将证书上传到 Microsoft 密钥保管库（如果尚未上传）。
在静态 Web 应用中添加托管标识。

对于用户分配的托管标识，请将静态站点对象上的 keyVaultReferenceIdentity 属性设置为用户分配的托管标识的 resourceId。

如果你的托管标识是系统分配的，请跳过此步骤。
为托管标识授予以下访问策略：
- 机密：获取/列出
- 证书：获取/列出

使用 clientSecretCertificateKeyVaultReference 值更新 azureActiveDirectory 配置部分的 auth config 部分，如以下示例所示：

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      "azureActiveDirectory": {
        "userDetailsClaim": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
        "registration": {
          "openIdIssuer": "https://login.microsoftonline.com/common/v2.0",
          "clientIdSettingName": "AZURE_CLIENT_ID",
          "clientSecretCertificateKeyVaultReference": "@Microsoft.KeyVault(SecretUri=https://<KEY_VAULT_NAME>.azure.net/certificates/<CERTIFICATE_NAME>/<CERTIFICATE_VERSION_ID>)",
          "clientSecretCertificateThumbprint": "*"
        }
      }
    }
  }
}

请确保将 <> 括住的占位符替换为你自己的值。

在机密 URI 中，指定密钥保管库名称和证书名称。如果你要关联到某个版本，请包含证书版本，否则请省略版本，以允许在运行时选择最新的证书版本。

将 clientSecretCertificateThumbprint 设置为等于 *，以始终拉取最新的证书指纹版本。

要创建注册，请首先创建以下应用程序设置：

设置名称	“值”
`APPLE_CLIENT_ID`	Apple 客户端 ID。
`APPLE_CLIENT_SECRET_APP_SETTING_NAME`	包含 Apple 客户端密码的应用程序设置的名称。

接下来，使用以下示例在配置文件中配置提供程序。

{
  "auth": {
    "identityProviders": {
      "apple": {
        "registration": {
          "clientIdSettingName": "APPLE_CLIENT_ID",
          "clientSecretSettingName": "APPLE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

有关如何将 Apple 配置为身份验证提供程序的详细信息，请参阅应用服务身份验证/授权文档。

要创建注册，请首先创建以下应用程序设置：

设置名称	“值”
`FACEBOOK_APP_ID`	Facebook 应用程序 ID。
`FACEBOOK_APP_SECRET_APP_SETTING_NAME`	包含 Facebook 应用程序机密的应用程序设置的名称。

接下来，使用以下示例在配置文件中配置提供程序。

{
  "auth": {
    "identityProviders": {
      "facebook": {
        "registration": {
          "appIdSettingName": "FACEBOOK_APP_ID",
          "appSecretSettingName": "FACEBOOK_APP_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

有关如何将 Facebook 配置为身份验证提供程序的详细信息，请参阅应用服务身份验证/授权文档。

要创建注册，请首先创建以下应用程序设置：

设置名称	“值”
`GITHUB_CLIENT_ID`	GitHub 客户端 ID。
`GITHUB_CLIENT_SECRET_APP_SETTING_NAME`	包含 GitHub 客户端密码的应用程序设置的名称。

接下来，使用以下示例在配置文件中配置提供程序。

{
  "auth": {
    "identityProviders": {
      "github": {
        "registration": {
          "clientIdSettingName": "GITHUB_CLIENT_ID",
          "clientSecretSettingName": "GITHUB_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

要创建注册，请首先创建以下应用程序设置：

设置名称	“值”
`GOOGLE_CLIENT_ID`	Google 客户端 ID。
`GOOGLE_CLIENT_SECRET_APP_SETTING_NAME`	包含 Google 客户端密码的应用程序设置的名称。

接下来，使用以下示例在配置文件中配置提供程序。

{
  "auth": {
    "identityProviders": {
      "google": {
        "registration": {
          "clientIdSettingName": "GOOGLE_CLIENT_ID",
          "clientSecretSettingName": "GOOGLE_CLIENT_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

有关如何将 Google 配置为身份验证提供程序的详细信息，请参阅应用服务身份验证/授权文档。

要创建注册，请首先创建以下应用程序设置：

设置名称	“值”
`X_CONSUMER_KEY`	X 使用者密钥。
`X_CONSUMER_SECRET_APP_SETTING_NAME`	包含 X 使用者密钥的应用程序设置的名称。

接下来，使用以下示例在配置文件中配置提供程序。

{
  "auth": {
    "identityProviders": {
      "twitter": {
        "registration": {
          "consumerKeySettingName": "X_CONSUMER_KEY",
          "consumerSecretSettingName": "X_CONSUMER_SECRET_APP_SETTING_NAME"
        }
      }
    }
  }
}

有关如何将 X 配置为身份验证提供程序的详细信息，请参阅应用服务身份验证/授权文档。

可将 Azure Static Web Apps 配置为使用遵守 OpenID Connect (OIDC) 规范的自定义身份验证提供程序。需要执行以下步骤才能使用自定义 OIDC 提供程序。

允许一个或多个 OIDC 提供程序。
每个提供程序在配置中必须具有唯一的名称。
只有一个提供程序可以充当默认的重定向目标。

向以下标识提供者注册你的应用程序

需要将应用程序的详细信息注册到标识提供者。有关需要执行哪些步骤来生成应用程序的客户端 ID 和客户端机密，请咨询提供者。

向标识提供者注册应用程序后，在静态 Web 应用的应用程序设置中创建以下应用程序机密：

设置名称	“值”
`MY_PROVIDER_CLIENT_ID`	身份验证提供程序为静态 Web 应用生成的客户端 ID。
`MY_PROVIDER_CLIENT_SECRET_APP_SETTING_NAME`	包含身份验证提供程序为静态 Web 应用自定义注册生成的客户端密码的应用程序设置的名称。

如果注册其他提供程序，那么每个提供程序都需要在应用程序设置中关联的客户端 ID 和客户端密码存储。

重要

应用程序机密是敏感的安全凭据。请不要向任何人透露此机密、在客户端应用程序中分发此机密，或者将其签入到源代码管理中。

获得注册凭据后，使用以下步骤创建自定义注册。

需要提供程序的 OpenID Connect 元数据。此信息通常是通过一个配置元数据文档（提供者的颁发者 URL，以 /.well-known/openid-configuration 为后缀）公开的。收集此配置 URL。

在配置文件中添加 auth 节，并在其中包含 OIDC 提供程序的配置块，以及你的提供程序定义。

{
  "auth": {
    "identityProviders": {
      "customOpenIdConnectProviders": {
        "myProvider": {
          "registration": {
            "clientIdSettingName": "MY_PROVIDER_CLIENT_ID",
            "clientCredential": {
              "clientSecretSettingName": "MY_PROVIDER_CLIENT_SECRET_APP_SETTING_NAME"
            },
            "openIdConnectConfiguration": {
              "wellKnownOpenIdConfiguration": "https://<PROVIDER_ISSUER_URL>/.well-known/openid-configuration"
            }
          },
          "login": {
            "nameClaimType": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
            "scopes": [],
            "loginParameterNames": []
          }
        }
      }
    }
  }
}

此示例中的提供程序名称 myProvider 是 Azure Static Web Apps 使用的唯一标识符。
确保将 <PROVIDER_ISSUER_URL> 替换为提供程序的颁发者 URL 的路径。
login 对象允许提供自定义范围、登录参数或自定义声明的值。

身份验证回调

标识提供程序需使用重定向 URL 来完成登录或注销请求。大多数提供程序都要求将回调 URL 添加到允许列表。以下终结点可用作重定向目标。

类型	URL 模式
登录	`https://<YOUR_SITE>/.auth/login/<PROVIDER_NAME_IN_CONFIG>/callback`
Logout	`https://<YOUR_SITE>/.auth/logout/<PROVIDER_NAME_IN_CONFIG>/callback`

如果使用的是 Microsoft Entra ID，请使用 aad 作为 <PROVIDER_NAME_IN_CONFIG> 占位符的值。

注意

这些 URL 由 Azure Static Web Apps 提供，以便用来接收身份验证提供程序的响应，你无需在这些路由中创建页面。

要使用自定义标识提供程序，请使用以下 URL 模式。

操作	模式
登录	`/.auth/login/<PROVIDER_NAME_IN_CONFIG>`
Logout	`/.auth/logout`
用户详细信息	`/.auth/me`
清除用户详细信息	`/.auth/purge/<PROVIDER_NAME_IN_CONFIG>`

如果使用的是 Microsoft Entra ID，请使用 aad 作为 <PROVIDER_NAME_IN_CONFIG> 占位符的值。

管理角色

访问静态 Web 应用的每个用户都属于一个或多个角色。用户可以属于两个内置角色：

匿名：所有用户都自动属于“匿名”角色。
已通过身份验证：已登录的所有用户都属于“已通过身份验证”角色。

除了内置角色以外，还可向用户分配自定义角色，并在 staticwebapp.config.json 文件中引用这些角色。

邀请
函数（预览版）

将用户添加到角色

若要将用户添加到角色，请生成允许将用户关联到特定角色的邀请。角色在 staticwebapp.config.json 文件中定义和维护。

创建邀请

邀请特定于单个授权提供程序，因此，在选择要支持的提供程序时，请考虑应用的需求。某些提供程序公开用户的电子邮件地址，而其他提供程序仅提供站点的用户名。

授权提供程序	公开
Microsoft Entra ID	电子邮件地址
GitHub	username
X	username

使用以下步骤来创建邀请。

在 Azure 门户中转到静态 Web 应用资源。
在“设置”下面，选择“角色管理”。
选择“邀请”。
从选项列表中选择“授权提供程序”。
在“被邀请者详细信息”框中添加收件人的用户名或电子邮件地址。
- 对于 GitHub 和 X，请输入用户名。对于所有其他工具，输入收件人的电子邮件地址。
从“域”下拉菜单中选择静态站点的域。
- 你选择的域是在邀请中显示的域。如果有与站点关联的自定义域，请选择该自定义域。
在“角色”框中添加以逗号分隔的角色名称列表。
输入希望邀请保持有效的最大小时数。
- 可能的最大限制为 168 小时，即 7 天。
然后选择“生成” 。
从“邀请链接”框中复制链接。
将邀请链接通过电子邮件方式发送给你向其授予访问权限的用户。

当用户选择邀请中的链接时，系统会提示其使用相应帐户登录。成功登录后，用户将与所选角色关联。

注意

请确保路由规则不会与所选的身份验证提供程序冲突。使用路由规则阻止提供程序会阻止用户接受邀请。

更新角色分配

在 Azure 门户中转到静态 Web 应用资源。
在“设置”下面，选择“角色管理”。
在列表中选择一个用户。
在“角色”框中编辑角色的列表。
选择“更新”。

删除用户

在 Azure 门户中转到静态 Web 应用资源。
在“设置”下面，选择“角色管理”。
在列表中找到该用户。
选中用户行上的复选框。
选择“删除” 。

删除用户时，请记住以下事项：

删除用户会使其权限失效。
全球传播可能需要几分钟时间。
如果用户已重新添加到应用，则 userId 会发生更改。

可使用无服务器函数而不是使用内置邀请系统在用户登录时以编程方式向用户分配角色。

要在函数中分配自定义角色，可定义每次用户成功使用标识提供程序进行身份验证后自动调用的 API 函数。函数从提供程序传递用户的信息。它必须返回向用户分配的自定义角色的列表。

此函数的示例用法包括：

查询数据库以确定应向用户分配的角色
调用 Microsoft Graph API，根据用户的 Active Directory 组成员身份确定用户的角色
根据标识提供程序返回的声明确定用户的角色

注意

只有在配置自定义身份验证时，才能通过函数分配角色。

启用此功能后，将忽略任何通过内置邀请系统分配的角色。

配置用于分配角色的函数

要将 Static Web Apps 配置为使用 API 函数作为角色分配函数，请向应用的rolesSource的 auth 部分添加一个 rolesSource 属性。 rolesSource 属性的值为 API 函数的路径。

{
  "auth": {
    "rolesSource": "/api/GetRoles",
    "identityProviders": {
      // ...
    }
  }
}

注意

配置后，外部 HTTP 请求无法再访问角色分配函数。

创建用于分配角色的函数

在应用的配置中定义 rolesSource 属性后，请在指定的路径中添加一个静态 Web 应用中的 API 函数。可使用托管函数应用或自带函数应用。

每次用户成功使用标识提供者进行身份验证时，POST 方法都会调用指定函数。该函数在请求正文中传递一个 JSON 对象，其中包含来自提供者的用户信息。对于某些标识提供程序，用户信息还包含一个 accessToken，该函数可将其用于使用用户的标识进行 API 调用。

查看 Microsoft Entra ID 中的以下示例有效负载：

{
  "identityProvider": "aad",
  "userId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
  "userDetails": "ellen@contoso.com",
  "claims": [
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
          "val": "Contoso"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
          "val": "Ellen"
      },
      {
          "typ": "name",
          "val": "Ellen Contoso"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/objectidentifier",
          "val": "7da753ff-1c8e-4b5e-affe-d89e5a57fe2f"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
          "val": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      },
      {
          "typ": "http://schemas.microsoft.com/identity/claims/tenantid",
          "val": "3856f5f5-4bae-464a-9044-b72dc2dcde26"
      },
      {
          "typ": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
          "val": "ellen@contoso.com"
      },
      {
          "typ": "ver",
          "val": "1.0"
      }
  ],
  "accessToken": "eyJ0eXAiOiJKV..."
}

该函数可使用用户的信息来确定要向用户分配的角色。它必须返回具有 JSON 正文的 HTTP 200 响应，其中包含要向用户分配的自定义角色名列表。

例如，要将用户分配到 Reader 和 Contributor 角色，请返回以下响应：

{
  "roles": [
    "Reader",
    "Contributor"
  ]
}

如果不想向用户分配任何其他角色，请返回一个空 roles 数组。

要了解详细信息，请参阅教程：使用函数和 Microsoft Graph 分配自定义角色。

后续步骤

以编程方式设置用户角色

通过

Azure Static Web Apps 中的自定义身份验证

配置自定义标识提供程序

Microsoft Entra 版本 1

Microsoft Entra 版本 2

自定义证书

身份验证回调

登录、注销和用户详细信息

管理角色

将用户添加到角色

创建邀请

更新角色分配

删除用户

后续步骤

反馈

其他资源