是否可以在 Azure 函数和 Azure Web API 之间启用托管标识?

Posted

技术标签:

【中文标题】是否可以在 Azure 函数和 Azure Web API 之间启用托管标识?【英文标题】:Is it possible to enable Managed Identity between Azure function and Azure Web API? 【发布时间】:2021-03-03 04:03:34 【问题描述】:

我目前在Azure FunctionWeb API 之间使用Basic 身份验证。这并不安全,因此我在寻找替代方案并在 Azure 中找到了 managed identity 功能。但是,我看不到可以在 Web API 和 Azure 功能之间启用此功能。

注意:我们可以在Azure FunctionKeyVault之间启用,但不能在web API和azure函数之间启用。

寻找如下解决方案

【问题讨论】:

所以您想使用 Azure Function 托管标识来访问 Web API 而不是使用基本身份验证? @StanleyGong 是的,没错。 如果是这样,我认为您可以使用 EasyAuth(通过 Azure AD)来保护您的 Azure Web API:c-sharpcorner.com/article/…,以便您的 Web API 将受到 Azure AD 的保护。完成此步骤后,您的功能端可以使用托管身份获取访问令牌来访问您的 Web API 是的,您可以参考此文档:docs.microsoft.com/en-us/azure/app-service/… 当您尝试获取访问令牌时,您唯一需要做的就是将资源参数更改为您的 Azure AD 应用程序 ID您为 Web API 配置了 EasyAuth。如果您有任何问题,请告诉我:) 这正是我提供的解决方案。那么我的代码和解决方案有用吗?如果有帮助,您能否将其标记为答案? 【参考方案1】:

我为我的应用服务启用了 Easy Auth:

您可以在高级刀片中找到其客户端 ID:

所以我们需要获取此资源的访问令牌以调用 API,只需尝试以下代码(我假设您已为您的函数启用托管身份):

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;

public static async Task<IActionResult> Run(HttpRequest req, ILogger log)

    log.LogInformation("C# HTTP trigger function processed a request.");
    var endpoint = Environment.GetEnvironmentVariable("IDENTITY_ENDPOINT");
    var identity_header = Environment.GetEnvironmentVariable("IDENTITY_HEADER");
    //chnage your client ID value here.
    var resource = "4df52c7e-3d6f-4865-a499-cebbb2f79d26";
    var requestURL = endpoint + "?resource=" + resource + "&api-version=2019-08-01";

    HttpClient httpClient = new HttpClient();
    httpClient.DefaultRequestHeaders.Add("X-IDENTITY-HEADER", identity_header);
    HttpResponseMessage response = await httpClient.GetAsync(requestURL);
    response.EnsureSuccessStatusCode();
    string responseBody = await response.Content.ReadAsStringAsync();
    var access_token = JsonConvert.DeserializeObject<TokenResp>(responseBody).access_token;

    //After get access token for app: 4df52c7e-3d6f-4865-a499-cebbb2f79d26, call the API that protected by it
    //chnage your api url here.
    var APIURL = "https://frankapp.azurewebsites.net";
    HttpClient callAPI = new HttpClient();
    callAPI.DefaultRequestHeaders.Add("Authorization","Bearer "+ access_token);
    HttpResponseMessage APIResponse = await callAPI.GetAsync(APIURL);
    //check the response code to see if called the API successfully.
    return new OkObjectResult(APIResponse.StatusCode);


public class TokenResp 
 public string access_token  get; set; 
 public string expires_on  get; set; 
 public string resource  get; set; 
 public string token_type  get; set; 
 public string client_id  get; set; 


结果:

【讨论】:

这真的很有帮助。在帮助社区方面做得很好。 您能告诉我如何保护客户 ID 吗?我的意思是,任何函数都知道这个客户端 ID 能够调用 API? API如何知道它的真实客户端?【参考方案2】:

您好,我可以看到您要求在 Azure FunctionWeb API 之间进行交换,理论上,它应该是您的资源服务器(Apis)而不是托管标识。在 Azure AD 之上有围绕代表身份验证/客户端授予凭据的概念。你可以按照这个学习教程Build Azure functions with Microsoft Graph 开始思考你希望你的身份流是什么样子——简单的方法是代表使用 azure 函数和 web api,访问令牌断言在两者的公共类中实现。

【讨论】:

你能用图表解释一下吗?它有助于了解更多

以上是关于是否可以在 Azure 函数和 Azure Web API 之间启用托管标识?的主要内容,如果未能解决你的问题,请参考以下文章

是否有推荐的方法来获取 web 应用程序的实时数据?

Azure 服务总线:使用函数、服务结构和 Web 作业? [关闭]

将Azure SQL Server的访问权限限制为特定的azure Web应用程序

是否可以在 Windows azure 上拥有一个具有多个域和 SSL 证书的 Web 角色?

我是否需要使用azure waf和web app指向站点vpn

通过 GCP、AWS 和 Azure 中的 API 探索 Web 资源